经卡巴斯基实验室安全专家分析,“网银间谍”木马感染计算机系统后,会创建一个ravtask.exe进程,伪装成某款反病毒软件的进程,麻痹用户。该进程会时刻监控用户是否登录网银,一旦发现,就会将用户登录网银的屏幕截图,同时记录用户的键盘输入信息,并将相关信息储存在C:\WINDOWS\msik\clickshots\和将用户计算机名、键盘记录信息保存至C:\WINDOWS\msik\logs\上。如下图所示:
木马所保存的截图
木马所记录的用户键盘输入信息
之后,恶意程序会将这些窃取到的信息发送至黑客的FTP,最终导致用户网银账号失窃,经济蒙受损失。
此次发现的这款恶意程序针对性很强,危害性也非常大。建议网银用户及时安装性能可靠的反病毒软件如卡巴斯基安全部队2011,彻底拦截此类恶意程序。另外值得一提的是,为了加强用户在使用网络银行时的安全,推荐使用卡巴斯基安全部队2011中的安全键盘功能,屏蔽恶意程序可能进行的截图和键盘记录功能,彻底杜绝此类敏感信息被盗。