本周安全預警：網銀隱身劫匪專偷工行賬號

【賽迪網-IT技術報道】2008年3月17日，金山毒霸全球反病毒監測中心發佈周（3.17-3.23）病毒預警，本周須警惕「網銀隱身劫匪」，這是一個針對工商銀行網銀的盜號木馬。當用戶使用IE瀏覽器登陸工商銀行網銀系統進行網上交易時，病毒就會截取用戶的支付卡號、接收卡號、密碼、收款人姓名、收款人所在地、交易流水號、收款網點機構名、收款人所在網點機構、總金額等全部的敏感信息，竊取用戶財產。

金山毒霸反病毒專家李鐵軍表示，此木馬有著較強的「破壞現場」能力。一旦盜號成功，木馬就會讀取windows的備份文件夾，將感染的iexplore.exe恢復成正常，使得用戶無法找到它的犯罪證據。

李鐵軍分析指出，這個針對工商銀行網銀的盜號木馬在運行後，會感染用戶系統中IE瀏覽器的主程序iexplore.exe，利用IE來截獲用戶的網銀信息。由於病毒體型小，以及病毒作者採取比較「節約空間」的感染方式，受到感染後的iexplore.exe程序大小不會變生改變。當用戶使用IE瀏覽器登陸工商銀行網銀系統進行網上交易時，全部敏感信息都會被該木馬記錄下來。當獲取到賬號信息後，木馬就悄悄連接病毒作者指定的一個遠程伺服器，讓病毒作者（木馬種植者）掌握用戶的銀行賬號、密碼，甚至個人隱私，給用戶造成無法估計的重大損失。

據瞭解，本周內廣大電腦用戶除了需要警惕「網銀隱身劫匪」之外，還需要特別警惕「IRC肉雞311296 」（Win32.Hack.SdBot.311296）與「AUTO下載器1433360」（Win32.TrojDownloader.losabel.bl.1433360）兩大病毒。前者是一個後門程序，使木馬作者能以「聊天」的方式不斷地向中毒電腦發送命令，記錄用戶的鍵盤動作、抓取用戶的屏幕、下載文件、向遠端計算機發起DOS攻擊、自我更新、關閉指定的進程、開啟用戶機器上的默認共享、將獲取的用戶信息發送給指定郵箱。金山毒霸反病毒專家提示用戶不要隨便接收別人發給的文件和過於貪圖IRC上的免費資源。後者病毒運行後，迅速破壞安全軟體的正常運行，然後從後台開啟網絡連接，下載包括盜號木馬在內的大量惡意程序，給用戶造成無法估計的巨大損失。為防止其它未知AUTO病毒的入侵，可利用金山「清理專家」關閉硬碟的自動運行功能，降低安全隱患。

金山毒霸反病毒專家提示，只要有網上支付發生，病毒作者就不會放過從中獲利的機會，盜號木馬並非竊取網游賬號那麼簡單。由於採取網絡轉賬，贓款可能會較難追回，因此需要使用網銀的用戶，一定要養成良好的網銀使用習慣，及時安裝銀行提供的官方安全插件、只從銀行官網登錄網銀，以及經常使用殺毒軟體掃瞄系統等。

(