2004年4月到6月间,江民反病毒研究中心接连截获“网银大盗”、 “网银大盗Ⅱ”、“网银大盗Ⅲ”,三大病毒的都将矛头直接指向了被人们认为“固若金汤”的网上银行。随着各大媒体和国家计算机病毒应急处理中心的大范围预警,一时间网上银行用户的安全意识空前提高,银行方面也前所未有地对自己的网上银行安全机制进行重新评估和查漏补缺,有效地保护了网上银行用户的资金安全。
日前,江民反病毒专家通过比较分析,总结了三大“网银大盗”病毒的异同之处。
“网银大盗”、 “网银大盗Ⅱ”和“网银大盗Ⅲ”共同之处在于,三种“网银大盗”都属于特洛伊木马程序,传播途径都是通过网络传播,盗取对象都是网上银行个人用户。三大病毒作者作案动机都是企图盗取个人网上银行的账号、密码,然后利用转账、网上支付等手段窃取用户网上银行存款。“网银大盗”、 “网银大盗Ⅱ”和“网银大盗Ⅲ”木马都是非主动传播,主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时,间接感染用户电脑。“网银大盗”、 “网银大盗Ⅱ”和“网银大盗Ⅲ”木马影响包括Win9x,Windows 2000, Windows XP, Windows 2003在内的所有Windows操作系统。
三大“网银大盗”病毒不同之处在于:
1、利用漏洞不同
“网银大盗”木马利用某商业银行网上银行个人登陆页面的安全漏洞。
“网银大盗Ⅱ”木马记录用户的所有击键,然后通过提交动态网页的方式将密码发送,利用防火墙规则设置上的漏洞。“网银大盗Ⅲ” 木马通过微软的MHT漏洞传播。
2、 利用技术的不同
“网银大盗”木马使用OLE插入技术,直接读取IE页面控件内容,从而获得用户的帐号密码。
“网银大盗Ⅱ”木马利用成熟的键盘记录技术(Key记录程序),轮询遍历键盘输入信息,监视用户操作,截取用户按键,获得用户的账号密码。
“网银大盗Ⅲ” 木马利用OLE插入技术,直接读取IE页面控件内容,但比“网银大盗”监控的更广、更详细,从而获得包括用户的账号密码在内的众多信息。
3、木马编写技术不同
“网银大盗”木马通过使用Visual C++编写,利用UPX技术压缩,技术难度相比较高。
“网银大盗Ⅱ”木马使用Visual Basic编写,利用Aspack技术压缩,技术难度相比较低。
“网银大盗Ⅲ” 木马使用DELPHI编写,利用UPX技术压缩,木马文件较大,技术难度最高。