金山云安全中心首推白名单杀毒技术

近日，央视315晚会曝光木马制作者如何利用木马病毒盗取大量用户网上银行信息的案例，网友反响热烈。金山毒霸反病毒工程师表示，网银系统是相对安全的。因为银行数据库被入侵的可能性非常小，而风险主要集中在个人用户的电脑上。

专家强调，目前由于一些网银用户自身的疏忽以及网络安全意识不高，一些盗号木马乘虚而入。金山毒霸云安全中心监测到的针对网银攻击主要两种 网银盗号木马和网银钓鱼网站，网银盗号木马，作案方式主要有三种：方法一、通过查找网银的支付窗口，然后记录键盘操作来盗取账号和密码。方法二、通过网银的安全控件来盗取用户网银帐号和密码。方法三、劫持本地网银页面到伪造网银的支付页面，然后盗取用户帐号和密码。网银钓鱼主要是申请一个与银行网银网站相似的域名比如www.1cbc.com.cn(注意这里是1不是i）此域名将链接到黑客伪造的网银页面，不明真相的用户访问该伪装网站很容易就泄露了自己网银的账号密码。

金山毒霸反病毒工程师指出，5年前出现的"网银大盗"病毒开启了偷盗网上银行个人用户信息的先河。病毒一旦发现当前IE窗口与病毒体内所记录的银行登录页面相符，便立即开始记录用户在键盘上输入的所有键值，以从中窃取用户网上银行的账号、密码和验证码等，直指网上银行的登录信息，目的性非常强。金山毒霸反病毒中心认为目前出现的网银盗号木马是可以被防御并清除的

同时，金山毒霸云安全中心出品的一款免费产品金山系统急救箱http://www.duba.net/zhuansha/263.shtml针对愈演愈烈的网银盗号木马，对系统关键位置进行检查并通过金山毒霸"云安全"平台完善的白名单库进行对比，扫描精准，专杀网络盗号木马。

可对网银威胁的几类病毒（威胁网银安全的十大木马）

1 木马下载器－－让系统安全功能全失，各路盗号木马快乐盗号

比如AV终结者：专门与杀毒软件对抗，破坏用户电脑的安全防护系统，并在用户电脑毫无抵抗力的情况下，大量下载盗号木马的病毒。），机器狗（病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件（比如explorer.exe，userinit.exe,winhlp32.exe等）达到隐蔽启动；通过底层技术穿透还原软件并可以下载大量盗号木马到用户电脑），磁碟机（会关闭一些安全工具和杀毒软件并阻止其运行；并会不断检测窗口来阻止一些杀毒软件及安全辅助工具。
AV终结者病毒指的是一批具备这些特征的病毒、木马和蠕虫的集合。

2 远程控制木马－让你的电脑屏幕现场直播账号密码

比如灰鸽子

一个"中国制造"的隐蔽性极强的木马，连续数年被金山毒霸等反病毒厂商列为年度十大病毒。用户一旦被入侵，电脑将沦为肉鸡，任人宰割。攻击者可以对感染机器进行多种任务操作，如屏幕监控，键盘监控，强行视频等等。

3 网银专业盗号家族-专业就是生产力

3.1网银隐身劫匪

一个针对工商银行网银的盗号木马。

病毒特征：当用户使用IE浏览器登陆工商银行网银系统进行网上交易时，病毒就会截取用户的支付卡号、接收卡号、密码、收款人姓名、收款人所在地、交易流水号、收款网点机构名、收款人所在网点机构、总金额等全部的敏感信息，窃取用户财产。

3.2、网银黑客盗号器61440

一个黑客盗号程序。

病毒特征：与以往的网银盗号木马不同，该病毒在对抗安全软件方面下了些功夫，运行后会替换掉系统桌面文件explore.exe和beep.sys文件，替换后，用户获知系统异常的机会将被降低，从而让病毒能够躲避查杀。然后记录下用户通过IE浏览器上网时输入的类似银行帐号和密码的数据，接着悄悄连接病毒作者指定的地址http://www.silvana****.kit.net，将记录到的数据发送出去，导致用户网银帐号丢失。

3.3 网银大盗

"网银大盗"病毒开启了偷盗网上银行个人用户信息的先河，并立刻引起了公众强烈的反响。后来"网银大盗"出现变种,其共同之处在于：它们都是通过网络非主动地传播，只是在用户浏览某些网页、点击某些不明链接以及打开不明邮件的附件等操作时，才感染用户的电脑；它们的盗取对象都是网上银行个人用户的账号和密码等，然后再利用转账和网上支付等手段来窃取用户网上银行中的存款。它们所采用的技术原理都是一样的，那就是即时监控IE窗口的标题栏，判断当前窗口是否为相关网上银行的登录页面。

病毒特征：一旦发现当前IE窗口与病毒体内所记录的银行登录页面相符，病毒便立即开始记录用户在键盘上输入的所有键值，以从中窃取用户网上银行的账号、密码和验证码等。这类病毒工作时避开了其他键盘输入的情况，直指网上银行的登录信息，目的性非常强，也大量节省了病毒作者后期从中提取有用信息的时间。

3.4快乐耳朵

监控IE浏览器的病毒。当发现用户开启网上银行的登录窗口时，便将键盘敲击的内容偷偷记录下来，从而获得用户的账号与密码。

病毒特征："快乐耳朵 "病毒作者都是通过邮件系统向外发送大量以"偷拍电影"网站为内容的诱惑性邮件，当用户信以为真地登录这些网站后，网站就会弹出提示"观看本站的电影必须安装新编码器"。事实上，这个"编码器"就是病毒，用户下载并运行之后电脑就会受到感染。当在受感染的电脑中使用病毒所针对的网上银行服务时，用户的账号、密码和数字证书就会被窃取，并发往病毒作者的信箱。

3.5网银小燕

该病毒利用邮件高速传播，邮件的标题为"表哥你好吗?"邮件的内容为"表哥：你好!你这几年在上海过得好吗？身体好吗？知道我是谁吗？先不告诉你，看了我的相片你就知道了，嘻嘻。收到我的Email很惊奇吗？很高兴吗？我是从你的同学施华军那儿知道你的Email地址的，我和他是在倩倩的生日party上遇到的。他说你找了一个上海的女孩子，是不是呀？真的得好好祝福你哟!"

如果用户出于好奇，打开附件中的照片，那么，该病毒就会趁机感染用户的机器。病毒会监视用户窗口的标题栏，寻找是否有与银行有关的字样，如果有，该病毒就会记录用户的键盘操作，窃取用户银行的账号和密码，并迅速把得到的信息发给木马种植者。该病毒可直接导致感染用户的经济损失。

3.7消音器盗号木马102400

病毒的中文名是源于它能干掉系统中用于发出异常报警的模块。它自带有一个Beep.sys文件，当进入系统后，它会被释放到%WINDOWS%SYSTEM32drivers目录中，替换掉系统本身的Beep.sys文件，这样系统在发生异常时，就无法向用户发出警报。

同时，病毒修改注册表启动项，让自己实现开机自启动，一旦得以运行，它就会监视用户的键盘输入与鼠标动作，伺机盗取看上去像网游和网银帐号的数据。将它们发到病毒作者指定的邮箱。部分该毒变种还具有远程控制功能，在无号可盗的时候，能开启后门，帮助黑客对电脑进行入侵。

未经允许不得转载：DOIT » 金山云安全中心首推白名单杀毒技术