萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 快樂耳朵——新釣魚病毒全程追擊始末

快樂耳朵——新釣魚病毒全程追擊始末

  作為第一個舉報了“快樂耳朵”病毒的人,李先生並不高興,“我可能是第一個中了這種病毒的人”。8月31日晚,從事IT業的李先生和往常一樣接收郵件,這時一封主題為“快來看看我的偷拍作品”的郵件進入信箱,其中不乏刺激內容,李先生在查看過程中,不小心點擊了郵件正文中的“中國丑惡現象偷拍網”的網址,在新頁面彈出之前,彈出一個對話框,提示用戶下載浏覽網站必需的“編碼器”,李先生隨手點擊了“下載”。“編碼器”很快安裝完畢,但是網頁卻沒有反應,這時電腦運行和上網速度開始變慢,李先生出於職業敏感性產生了懷疑,他打開系統文件夾看到了兩個陌生的系統文件,同時發現注冊表也有異常,於是,李先生給瑞星客服中心發去了一封求助E-mail,並附上了這兩個異常文件。

  全程追擊“快樂耳朵”

  9月1日清晨,瑞星客服工程師在察看著用戶來信時發現了李先生的信,按照有關規定,他們向北京市公安局網絡監察處進行了情況匯報。與此同時,按照工作流程,這封E-mail迅速從客服部轉到了研發部以及各個相關部門。

  經過分析,很快得出結果,發現“快樂耳朵”病毒分為兩種,它們是“快樂耳朵(Trojan.Happyear.a)”和“快樂耳朵變種B(Trojan.Happyear.b)”病毒。這兩個病毒技術特性相似,都是專門偷竊某銀行個人版用戶的銀行資料,進而盜取用戶資金。跟此前出現的同類木馬病毒不同,這兩個病毒專門針對該銀行個人版編寫,可以取得該行網絡銀行專業版的數字證書、密碼和賬號,可以在網上實現完整的盜竊資金過程,對用戶的危險極大。

  剖析了病毒,相應殺毒程序出台自然很快了。同時瑞星也公布了反病毒急救電話。不久,北京市公安局網監處,向公眾發出了關於“快樂耳朵”的病毒警示。及時反應,加上解決方案的迅速出台,使得 “快樂耳朵” 最終沒有被廣泛傳播。據瑞星在線殺毒統計,9月6日當天,感染該病毒的人數在20人左右。而據公安和銀行部門證實,截至目前,尚無網上銀行因為該病毒受到損失。

  盡管緊急有效的措施,讓人們松了一口氣,但是此病毒的嚴重後果,卻使人們後怕不已,究竟“快樂耳朵”是如何盜取銀行賬號的呢?

  揭密行竊真相

  “快樂耳朵”主要是針對某率先在網上進行轉賬、消費等業務的銀行的。因為該銀行網上系統在不斷升級、強化功能後,可進行網上轉賬、消費、理財等服務。該系統要求,用戶不但有賬號和密碼,而且要持有特定的數字證書文件。

  當用戶中毒後登錄該銀行賬號進行操作時,即可被病毒竊取賬號、密碼和數字證書,“快樂耳朵”竊取了這些資料,可自動以郵件的方式,向特定的郵箱發送信息資料。利用這些資料,攻擊者可以任意操作用戶的該行網絡賬戶,進行轉賬、網絡消費等。網絡大盜們在獲得相關的個人資料之後,可通過轉賬、消費等延伸功能,盜取用戶資金。

  經過瑞星研發部門分析證實,“快樂耳朵”病毒是一種用Visual Basic語言編寫的盜取用戶信息(某銀行登錄信息)的木馬病毒。

  該病毒包括三個程序:一是exp1orer.exe程序,此程序是病毒的主程序,運行時偽裝為一個解碼器,它通過搜索“IE標題欄”和“IE網址”檢測是否正在登錄某銀行的網上銀行,如果是則自動記錄用戶的鍵盤敲擊信息,盜取如下資料:4.0主登錄用戶名、4.2主登錄用戶名、用戶信息、證書恢復信息等;二是search.exe程序,通過此程序,病毒將自動在某范圍內搜索郵件地址;三是sendmail.exe程序,這是病毒發送郵件的模塊,病毒利用此模塊向搜索到的郵件地址發送誘惑性的郵件,同時也會將盜取的信息發送到病毒傳播者的特定郵箱。

  盡管“快樂耳朵”病毒只針對某銀行,但有關專家表示,此病毒的出現,並不意味著該銀行的網絡銀行系統存在漏洞,主要還是利用了用戶獵奇心理,欺騙用戶登錄不良網站侵入用戶電腦,從而竊取用戶的銀行資料。

  安全需要潔身自好

  目前來看,“快樂耳朵”病毒沒有造成較大的後果,但是,專家稱,目前還無法確定“快樂耳朵”病毒是否會潛伏於電腦中,日後伺機盜取客戶資料。同時,瑞星的反病毒專家介紹,按照以往木馬蠕蟲病毒的發展來看,未來“快樂耳朵”的變種,或者類似“快樂耳朵”的病毒,將絕不在少數,隨著網上銀行、電子商務的發展,用戶不能掉以輕心。

  新病毒不斷產生,病毒廠商反應再快,也總有時間差。那麼,人們應當如何采取有效措施,盡量減低病毒的感染危害呢?公安部網監部門向廣大網民提示:“快樂耳朵”病毒可能會在近期出現新變種,改頭換面繼續傳播,危害互聯網安全,網民們最好使用經公安部門許可的正版殺毒軟件,立即對現有的殺毒系統進行升級。此外,一旦發現自己被類似病毒感染導致資金失竊,應立即向公安部報警,為此,他們開通了24小時病毒報警電話(65249006)和手機短信報警號碼(移動用戶發至05110,聯通用戶發至8110)。

  同樣,專業的反病毒工程師也建議用戶養成良好的安全習慣:不要輕信網上流傳的網址,比如通過垃圾郵件或論壇得到的網站地址,不要輕易打開;關閉或刪除系統中不需要的服務;很多病毒利用漏洞傳播,一定要及時給系統打補丁;安裝專業的防毒軟件進行實時監控,平時上網的時候一定要打開防病毒軟件的實時監控功能,尤其是當用戶從網上下載文件後,應當對其進行掃描;如果用戶通過網上銀行進行重要的操作如轉賬、消費、購買股票時,應開啟殺毒軟件的即時監控功能,並打開個人防火牆,以防范重要資料外洩。

  看來,上網保持警惕,“潔身自好”,才是保證自身安全的根本所在。

copyright © 萬盛學電腦網 all rights reserved