“IK网银盗号器”(Win32.Troj.Small.rz.134942),这是一个网银盗号木马。此毒通过伪装成一封产品咨询信件来混入用户电脑,如果顺利运行,就会展开键盘记录,窃取用户输入的帐号和密码,同时对用户的操作进行截屏记录。
“盗号木马下载器JG”(win32.troj.dropper.jg.210338),这是一个专门下载盗号木马的下载器。它本身无法自动传播,需要借助脚本挂马下载器的帮助进入系统。而由于它也不具备对抗能力,病毒作者会将其与一些对抗模块捆绑传播。
一、
病毒英文名
病毒中文名
日均感染电脑量
威胁级别
入侵方式
Win32.Troj.Small.rz.134942
IK网银盗号器
878
★★★
邮件附件、网马下载
如果您的邮箱中收到一封来自“刘娜”来的邮件,对它的附件可要千万当心,这很可能是黑客组织精心伪装的网银盗号木马。
日前,金山毒霸云安全系统拦截到一款名为“IK网银盗号器”(Win32.Troj.Small.rz.134942)的网银盗号木马。该毒主要利用邮件进行传播,病毒邮件的发件人是“刘娜”,信件内容为“您好我在互联网上看到你们公司发的产品信息,请问向这种的什么价格,可以邮购吗谢谢回复”。信中包含一份附件,名称多为“产品名单”、“图片”等。
一旦打开附件,该毒就会立即运行,将自己的文件RSTray.exe或book.exe安装到用户电脑系统的WINDOWS目录下。
如果在此之后,用户有使用网银交易,那么就会被窃走帐号和密码。
与过去曾被曝光过的“广外幽灵”、“顶狐结巴”等著名网银盗号木马相比,此毒除了记录用户输入的网银帐号和密码,还多了个截屏记录的功能,能将用户操作网银的主要过程截屏记录下来,为黑客后期非法转移用户的资金提供更为形象便捷的帮助和指导。
通过对该毒的技术追查,金山毒霸反病毒工程师发现,此毒近来在网上非常猖獗,许多黑客网站甚至公开出售。随便找一个搜索引擎,输入“IKlogger0.1”,就可以查询到关于该毒的大量买卖、介绍信息。一些出售该毒的黑客网站声称此毒是从阿根廷进口,如果购买,还可提供一对一的操作教学。
不过,该毒并不是对所有网银都有效,如果用户使用了U盾、动态密码卡、手机动态密码以及专业版网银,那么即便被盗走帐号和密码,黑客也无法操作用户帐号上的资金。
央视315晚会对网银盗号木马的揭露,引起了网民们对盗号木马前所未有的重视,也使得黑客盗号团伙立即成为众矢之的。然而,面对巨大的利润,在被曝光半个月后,黑客组织依然顶风作案,胆大妄为。目前,金山毒霸可完全拦截此毒的所有非法操作,并会严密监视其动态,确保用户电脑的安全。
二、
病毒英文名
病毒中文名
日均感染电脑量
威胁级别
入侵方式
win32.troj.dropper.jg.210338
盗号木马下载器JG
8480
★★
网马下载
“盗号木马下载器JG”(win32.troj.dropper.jg.210338)的单日感染量不断下降,昨日已经降至8千余台次,但是对它不能有丝毫松懈,因为此毒本月初时,感染量曾低至5千余台,然后又飙升至近8万台次。
此毒不具备对抗能力,为防止被杀软拦截,它的一些变种会被与具有对抗功能的木马模块相捆绑,进入系统后这些对抗模块先运行起来,尝试解决杀软。
只要打齐系统安全补丁,该毒就无法进入电脑,因为它是借助脚本木马下载器才能进入电脑,而脚本木马又必须是利用系统安全漏洞才能成功实施攻击。
来自金山毒霸反病毒工程师的几点安全建议
1.安装专业的正版杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开,并一定要开启自动升级功能,遇到杀毒软件异常的问题,要尽快与其生产厂商联系求助。
2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大,只要你的系统中存在安全漏洞,病毒就可以找到突破防御的缝隙。因此,请尽可能使用正版软件,以获得及时的升级服务。
3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户,因此建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,这样才能切断病毒感染的途径,不给病毒以可乘之机。
4.警惕网络诈骗,切记“天上不可能掉馅饼”。杀毒软件可以为您拦截恶意程序的攻击,而至于基于社会工程学的诈骗,很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理,比如QQ中大奖、网站抽大奖等。
