今天,隨著網購等在線服務的蓬勃發展,人們對網銀的使用越來越廣泛。盡管各大銀行在為用戶提供此項服務時都將安全視為重中之重,但是網絡罪犯也總是不遺餘力的尋求突破,以達到其不法目的。近日,卡巴斯基實驗室就檢測到一種劫持網銀的木馬,並命名為:Trojan-Dropper.Win32.Necurs.aaa。
此木馬會釋放其它木馬文件,將瀏覽器對某些銀行的訪問劫持到黑客仿制的網站,也就是各種針對銀行制作,甚至有些以假亂真的釣魚網站。木馬運行後會首先創建文件%WinDir%hobio.sys,然後創建文件%WinDir%driversetchost7。此文件為一個hosts文件,用於將某些銀行網站劫持到黑客網站。然後檢查系統中是否有殺軟進程,如果沒有,則創建服務啟動hobio.sys驅動程序,如果有則釋放文件%WinDir%son.dll並為其創建註冊表啟動項:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun rundll32.exerundll32.exe son.dll,Prkt
然後木馬會重啟計算機使得釋放的dll在重啟後得以加載。son.dll 被卡巴斯基檢測為Trojan-Banker.Win32.Qhost.abat,用於創建服務啟動hobio.sys。hobio.sys 被卡巴斯基檢測為Trojan-Banker.Win32.Qhost.abat,會掛鉤以下函數:
NtCreateFile
NtOpenFile
NtQuerySystemInformation
NtQueryDirectoryFile
ZwQueryKey
ZwEnumerateValueKey
ZwEnumerateKey
通過掛鉤上述這些函數此木馬可以隱藏木馬文件和註冊表,將瀏覽器對hosts文件的訪問重定向至host7,阻止某些安全軟件訪問其病毒庫文件。
點評:不論網絡罪犯的伎倆有多高明,隻要用戶做好相應的安全防范工作,例如安裝一款專業的安全解決方案並保持更新,是完全可以避免自己的網銀賬戶不會受到惡意程序的侵擾。此外,卡巴斯基實驗室也提醒廣大的用戶在使用網銀時也要留意所訪問站點的域名、內容等信息是否出現異常,切不可馬虎大意,否則,一旦在釣魚網站中輸入自己的個人賬戶信息,就等於讓黑客操控瞭您的銀行賬戶。
Orignal From: 網購安全:使用網銀時須防范木馬攻擊
留言列表
