当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > URLzone新型银行木马病毒的工作机理

安全基础
网管技术:常见BIOS报错信息及解决方法
分布式拒绝服务(DDOS)攻击及防范研究
四种宽带接入方式及其传输速率
网管必读 解读无线网络的七大安全困惑
经验:识别系统的非法进程及剿杀
全面清除系统垃圾的方法
QQ、网游等账号防盗防骗的实用小经验
上网前保证Windows XP系统安全的办法
七种DDoS攻击技术方法简介
硬盘与内存检测 四种查毒绝招
当网站注册时输入验证码总是不正确解决方法
不让自己的秘密留在别人的电脑中
IE崩溃遭难不求人 快速简单处理方法
损招 让应用程序莫名其妙地失效
不再弹广告 破除隐身僵尸木马的隐身妖术
利用QQ传播 网络欺骗“绑架”奥运会
渗透测试的攻与守 认清网络面临的问题
手动剿杀“上兴远程控制”木马
个人电脑防黑客入侵八准则
关注Windows系统服务中的安全隐患

安全基础 中的 URLzone新型银行木马病毒的工作机理


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 42 ::
收藏到网摘: n/a

安全公司Finjan声称他们最近发现了一种名为URLzone的新型银行木马,并对该木马的细节进行了批露。据透露,这种新病毒具备防侦测技术,不仅会 窃取用户的银行账户信息,而且会伪装成网银界面,在你登陆的同时便能将你账户里的钱悄悄取走。它还能自动按用户账户的存款余额来计算每次偷取的钱财数额,并能以此避免触发网银的防欺诈机制。

Finjan表示这款木马针对的是某家具体名称不便透露的德国银行,木马指向的控制服务器则位于乌克兰境内,Finjan公司已经就此事向德国司法部门提出了警告。

Finhjan公司的安全专家表示:“这种网银木马病毒堪称新一代产品,这些新木马普遍设计复杂,同时都具备反防欺诈的机制。”

Finjan公司的安全专家利用一台感染了此病毒的机器追踪到了木马的控制服务器,他们发现这台服务器上安装有专门用于控制染毒机器的LuckySpoilt管理软件,并且掌握了这套木马病毒控制系统的工作机制。

大约有9万台电脑曾经访问过藏有该木马的站点网页,其中有6400台机器被感染了这种病毒,成功率达7.5%。而这些感染了该病毒机器的主人中则有数百人的网银钱财被窃。自8月中旬开始的22天之内,这款木马已经成功窃得了43.8万欧元的钱财。


以下是这种病毒的工作机理:

首先通过藏毒电子邮件或藏毒网页链接的方式,将用户诱骗到一个内藏木马的网页,病毒利用一种名为LuckySpoilt的工具攻击用户浏览器的某个安全漏洞,然后在用户的机器上安装木马病毒。

安装病毒之后,木马会驻留在后台等待用户有进入目标银行的举动。一旦用户登录这个目标银行,该木马便会检查用户账户中的存款数额,然后按照不会触发银行防欺诈机制的金额计算出需要窃取的金额数目,并在客户的账户中留下一定数额的存款。

计算完成之后,该木马便会开始转款操作,这种操作将利用浏览器来偷偷在后台进行,而在用户的电脑上则根本无法觉察到。

转款的目标一般都是一些被称为“钱骡”的银行帐号,这些帐号专门接收这些来历不当的钱财,然后再将这些钱财转给犯罪分子。这些“钱骡”账户一般都设在国外,同时得手一两次后就会被弃用,因此给侦查带来了一定的困难。

得手后,这种木马病毒还会向用户显示伪造的存取款记录表和伪造的账户余额表,只有用户到另一台没有中毒的机器上查看,或在ATM机上取款,发现余额不足时,用户才会发现问题。

这款病毒同时还会跟踪记录用户的银行帐号登入行为,并进行抓图,还会偷偷窃取用户的其它帐号,如PayPal,Facebook,Gmail帐号等等。

据Finjan公司表示,这款木马病毒是首款能做到实时攻击用户的浏览器,自动将用户网银存款进行转账操作,并能显示伪造的存取款记录表,存款余额表的木马病毒。