当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 快乐耳朵:新钓鱼病毒全程追击始末

杀毒防毒
U盘(auto病毒)类病毒分析与解决方案
解析魔兽木马Trojan-PSW.Win32.WOW
绕过主动防御 木马病毒刺穿卡巴斯基
总结经典:木马十大藏身地点大搜查
手动清除 chcp.exe病毒 保护 MSN的安全
卡巴斯基KIS 7.0防火墙设置完全攻略
百毒不侵 如何以不变应万变预防病毒
病毒日新月异 六大反病毒技术亟待成熟
守住你的网站 防御DDoS攻击实用指南
提高诺顿杀毒软件速度的五则技巧
安全升级 新版迅雷杀毒方案之详解
病毒非电脑的专利 常见手机病毒分析
卡巴斯基8.0主要特性介绍(附激活码)
几大常见的手机杀毒软件试用横评
三种2008版杀毒软件七大主流功能横评
检测硬盘与内存中病毒痕迹的四种绝招
优化XP使卡巴斯基7.0单机版运行流畅
上网不再怕中毒 教你一招克死所有病毒
“色情终结者”病毒专删PC内色情电影
精心设置卡巴斯基 加快杀毒速度

杀毒防毒 中的 快乐耳朵:新钓鱼病毒全程追击始末


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 29 ::
收藏到网摘: n/a

 

  作为第一个举报了“快乐耳朵”病毒的人,李先生并不高兴,“我可能是第一个中了这种病毒的人”。8月31日晚,从事IT业的李先生和往常一样接收邮件,这时一封主题为“快来看看我的偷拍作品”的邮件进入信箱,其中不乏刺激内容,李先生在查看过程中,不小心点击了邮件正文中的“中国丑恶现象偷拍网”的网址,在新页面弹出之前,弹出一个对话框,提示用户下载浏览网站必需的“编码器”,李先生随手点击了“下载”。“编码器”很快安装完毕,但是网页却没有反应,这时电脑运行和上网速度开始变慢,李先生出于职业敏感性产生了怀疑,他打开系统文件夹看到了两个陌生的系统文件,同时发现注册表也有异常,于是,李先生给瑞星客服中心发去了一封求助E-mail,并附上了这两个异常文件。

  全程追击“快乐耳朵”

  9月1日清晨,瑞星客服工程师在察看着用户来信时发现了李先生的信,按照有关规定,他们向北京市公安局网络监察处进行了情况汇报。与此同时,按照工作流程,这封E-mail迅速从客服部转到了研发部以及各个相关部门。

  经过分析,很快得出结果,发现“快乐耳朵”病毒分为两种,它们是“快乐耳朵(Trojan.Happyear.a)”和“快乐耳朵变种B(Trojan.Happyear.b)”病毒。这两个病毒技术特性相似,都是专门偷窃某银行个人版用户的银行资料,进而盗取用户资金。跟此前出现的同类木马病毒不同,这两个病毒专门针对该银行个人版编写,可以取得该行网络银行专业版的数字证书、密码和账号,可以在网上实现完整的盗窃资金过程,对用户的危险极大。

  剖析了病毒,相应杀毒程序出台自然很快了。同时瑞星也公布了反病毒急救电话。不久,北京市公安局网监处,向公众发出了关于“快乐耳朵”的病毒警示。及时反应,加上解决方案的迅速出台,使得 “快乐耳朵” 最终没有被广泛传播。据瑞星在线杀毒统计,9月6日当天,感染该病毒的人数在20人左右。而据公安和银行部门证实,截至目前,尚无网上银行因为该病毒受到损失。

  尽管紧急有效的措施,让人们松了一口气,但是此病毒的严重后果,却使人们后怕不已,究竟“快乐耳朵”是如何盗取银行账号的呢?

  揭密行窃真相

  “快乐耳朵”主要是针对某率先在网上进行转账、消费等业务的银行的。因为该银行网上系统在不断升级、强化功能后,可进行网上转账、消费、理财等服务。该系统要求,用户不但有账号和密码,而且要持有特定的数字证书文件。

  当用户中毒后登录该银行账号进行操作时,即可被病毒窃取账号、密码和数字证书,“快乐耳朵”窃取了这些资料,可自动以邮件的方式,向特定的邮箱发送信息资料。利用这些资料,攻击者可以任意操作用户的该行网络账户,进行转账、网络消费等。网络大盗们在获得相关的个人资料之后,可通过转账、消费等延伸功能,盗取用户资金。

  经过瑞星研发部门分析证实,“快乐耳朵”病毒是一种用Visual Basic语言编写的盗取用户信息(某银行登录信息)的木马病毒。

  该病毒包括三个程序:一是exp1orer.exe程序,此程序是病毒的主程序,运行时伪装为一个解码器,它通过搜索“IE标题栏”和“IE网址”检测是否正在登录某银行的网上银行,如果是则自动记录用户的键盘敲击信息,盗取如下资料:4.0主登录用户名、4.2主登录用户名、用户信息、证书恢复信息等;二是search.exe程序,通过此程序,病毒将自动在某范围内搜索邮件地址;三是sendmail.exe程序,这是病毒发送邮件的模块,病毒利用此模块向搜索到的邮件地址发送诱惑性的邮件,同时也会将盗取的信息发送到病毒传播者的特定邮箱。

  尽管“快乐耳朵”病毒只针对某银行,但有关专家表示,此病毒的出现,并不意味着该银行的网络银行系统存在漏洞,主要还是利用了用户猎奇心理,欺骗用户登录不良网站侵入用户电脑,从而窃取用户的银行资料。

  安全需要洁身自好

  目前来看,“快乐耳朵”病毒没有造成较大的后果,但是,专家称,目前还无法确定“快乐耳朵”病毒是否会潜伏于电脑中,日后伺机盗取客户资料。同时,瑞星的反病毒专家介绍,按照以往木马蠕虫病毒的发展来看,未来“快乐耳朵”的变种,或者类似“快乐耳朵”的病毒,将绝不在少数,随着网上银行、电子商务的发展,用户不能掉以轻心。

  新病毒不断产生,病毒厂商反应再快,也总有时间差。那么,人们应当如何采取有效措施,尽量减低病毒的感染危害呢?公安部网监部门向广大网民提示:“快乐耳朵”病毒可能会在近期出现新变种,改头换面继续传播,危害互联网安全,网民们最好使用经公安部门许可的正版杀毒软件,立即对现有的杀毒系统进行升级。此外,一旦发现自己被类似病毒感染导致资金失窃,应立即向公安部报警,为此,他们开通了24小时病毒报警电话(65249006)和手机短信报警号码(移动用户发至05110,联通用户发至8110)。

  同样,专业的反病毒工程师也建议用户养成良好的安全习惯:不要轻信网上流传的网址,比如通过垃圾邮件或论坛得到的网站地址,不要轻易打开;关闭或删除系统中不需要