• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

"網銀隱身劫匪"大肆攻擊工商銀行網銀賬戶

「網銀隱身劫匪」(Win32.Huhk.d.7607),這是一個感染型病毒,用於盜竊工商銀行網銀賬戶。盜竊成功後對系統進行修復,隱蔽得非常好,極其惡性。

「病毒下載器135168」(Win32.Troj.LwyMum.yc.135168),這是一個使用Delphi編寫的感染型木馬病毒。病毒運行後會查找卡巴斯基監控窗口並關閉,然後在後台悄悄連接網絡,從遠程伺服器下載病毒至用戶計算機。病毒會感染用戶硬碟上的所有.EXE和.SCR文件,感染後的文件會多出一個名為".KAO"的節,這時感染的文件日期即為被感染時間。

一、「網銀隱身劫匪」(Win32.Huhk.d.7607) 威脅級別:★★

病毒編寫者在製作大量針對網游的盜號木馬的同時,也從來沒忘記過把目標瞄準銀行裡的真實財產,只要有網上支付發生,病毒作者就不會放過從中搞鬼的機會,毒霸病毒分析專家昨日捕獲到的網銀木馬,再次提醒我們,盜號木馬絕對不止竊取網游賬號那麼簡單。

這個針對工商銀行網銀的盜號木馬在運行後,會感染用戶系統中IE瀏覽器的主程序iexplore.exe,利用IE來截獲用戶的網銀信息。由於病毒體型小,以及病毒作者採取比較「節約空間」的感染方式,受到感染後的iexplore.exe程序大小不會變生改變。但當用戶使用IE瀏覽器登陸工商銀行網銀系統進行網上交易時,病毒就會將截取眾多信息。包括用戶的支付卡號、接收卡號、密碼、收款人姓名、收款人所在地、交易流水號、收款網點機構名、收款人所在網點機構、總金額等全部的敏感信息都會被該木馬記錄下來。

獲取到賬號信息後,木馬就悄悄連接病毒作者指定的一個遠程伺服器,讓病毒作者(木馬種植者)掌握用戶的銀行賬號、密碼,甚至個人隱私,給用戶造成無法估計的重大損失。而且由於採取網絡轉賬,贓款可能會較難追回,因此需要使用網銀的用戶,一定要養成良好的網銀使用習慣,比如及時安裝銀行提供的官方安全插件、只從銀行官網登錄網銀,以及經常使用殺毒軟體掃瞄系統等。

另外,此木馬有著較強的「破壞現場」能力。一旦盜號成功,木馬就會讀取windows的備份文件夾,將iexplore.exe恢復成正常,使得用戶無法找到它的犯罪證據。

二、「病毒下載器135168」(Win32.Troj.LwyMum.yc.135168) 威脅級別:★

此病毒運行後,會在系統中生成一個標記。這樣,如果以後有它的病毒副本再此進入用戶電腦,就能發現這台電腦已經是它的地盤,從而防止重複運行造成浪費時間和不必要的出錯。接著,然後查找並關閉殺毒軟體卡巴斯基的實時監控窗口AVP.Tray,讓自己接下來的破壞活動能順利進行。

病毒創建線程,感染用戶硬碟中的.EXE和.SCR文件,感染後的文件會多出一個名為「.KAO」的節,這時感染的文件日期即為被感染時間病毒查找並注入IE窗口。同時,它在後台連接病毒作者指定的地址hxxp://xx.a**k*v.com,悄悄下載更多其它病毒到用戶電腦中運行,引發更多無法預計的破壞。

順便提及,病毒在搜索硬碟中的EXE文件進行感染時,會避開WINDOWS、Internet Explorer、Outlook Express、Windows Media Player、WinRAR等少數幾個目錄下的文件。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

(

加入好友line@vga9721w
線上客服
@hd119