银行大盗是“宝宝”
安全阵地
我们病毒家族发展到今天,已经越来越“务实”了,像以前CIH那种只为“名”不为“利”的思想越来越吃不开。于是,偷盗别人的银行卡账号及密码,成为某些病毒的首要目标。这不,最近又有一名新成员“宝宝”(Worm.Baobao.a)加入这一行列。没想到的是,它刚一出手就被人抓了一个“现行”……
我的作案手段
别看我的名字挺可爱的,但作起案来可是心狠手辣。一般情况下,我会通过电子邮件进入别人的电脑,如果用户运行了,他就会倒霉。
为了迷惑用户,当我被激活时会生成一个名为“Message”的文件,并用记事本打开,里面显示的一堆乱码是为了让人类放松警惕。
接着我会通过设置“消息钩子”,一旦发现窗口标题中含有“支付宝”、“淘宝旺旺”、“淘宝网”、“工商银行”、“招商银行”、“农业银行”、“建设银行”、“网上支付”等信息,就立刻开始记录所有的键盘操作。这样,别人的支付宝或网上银行的账号和密码等信息就都手到擒来了。
现在,我会把这些信息保存到系统目录中一个叫“systems.dll”的文件中,并把它发送到病毒作者的邮箱里。
此外,我还会释放一个文件名为“wxapi.dll”的模块,用它来建立一个后门,这样我的主人就可以随时向已中毒的电脑发送文件并强制执行了。为了进行大范围的传播,我还会从OE地址簿和一些文件中搜索E-mail地址,并向E-mail发送病毒邮件。
我被捕了
直到我被抓住的时候,我还搞不清到底哪里露了马脚,让人抓了一个“现行”。不过,逮住我的那个“人类”告诉了我整个过程……
最近,我在网上购物,当登录工商银行网站准备输入账号和密码时,忽然发现这个登录界面虽然和以前登录的工商银行界面一模一样,但是地址栏中的网站地址并不是以“https://”(HTTPS协议,数据在传输过程中是被加密的,安全性较强)开头的,而是我们常见的“http://”(HTTP协议,在数据传输过程中,并不对数据进行加密,因此数据可能会被他人窃取)。
我意识到该网页可能不太安全(事后才知道这是病毒伪装的)。于是我赶紧在网镖防火墙中点击“断开网络”,然后在“网络状态”标签下查找可疑进程。
1.发现“网络状态”下存在可疑进程“svch0st.exe”,不知道它是什么时候混进来的。请注意在该文件名中是数字“0”,而正常系统文件该处应为字母“o”。接着点击网镖中的“结束进程”按钮结束该进程,当然也可在任务管理器中进行相关操作。
2.打开该病毒程序所在的文件目录(即系统所在分区的“System32”文件夹),查找并删除“svch0st.exe”文件和生成的键盘记录文件“systems.dll”。另外还要搜索并删除“wxapi.dll”这个后门文件。
3.打开注册表编辑器,删除以下病毒启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"Systems" = "%SYSDIR%\svch0st.exe"
这下就彻底铲除了这个可恶的“小偷”,进入网上银行一看,银子一点儿也没少,终于松了一口气。
大家开始防我
可恶的人类,除了丧心病狂地追捕我外,还制定了一系列的措施来防我。说什么为了避免经济损失,在进行网上支付时一定要注意以下几点:
1.平时上网时一定要开启邮件监控、病毒实时监控和网镖等网络防火墙。如果使用了毒霸2005,就要在防毒设置中启用网页脚本扫描功能,刷新网页时可以在状态栏上看到扫描标志。
2.尽量不要在公共场所(如网吧)登录网上银行,因为你无法知道这些计算机是否装有恶意程序。如果非使用不可,那么上网前一定要做一次安全检查,至少要重新启动一下计算机。
3.进行网上支付时,要仔细查看网上银行的网址是否正确。如果网址为IP地址形式的网址(如“http://218.21.27.222),那么它一定是假的。
网址一定要是以“https://”开头的,在浏览器的状态栏中还会显示一个“小锁”标志,双击这个“小锁”图标,在弹出的窗口中可查看安全证书的有效期等信息。如果没有上述标志,那么这个登录页面一定是假的或者是不安全的。
4.每次使用个人网上银行服务后,一定要选择“退出登录”,而不是直接关闭浏览器,才能清除IE缓存中的数据。