宝马下载器病毒冒充Windows文件保护提示框
作者:李铁军
【赛迪网-IT技术报道】近期应警惕一个名为BMV(宝马下载器)的病毒,据统计:该病毒通过100万次左右的攻击,成功入侵了6万台左右的电脑。主要通过入侵政府网站、学校网站、中小型网站挂马传播,也通过腾讯问问、硅谷动力等网站的xss漏洞传播,日新增挂马网站3000余个。
该病毒的恶意行为:
1.IE主页被修改
IE主页被修改为hxxp://www.ku266.com,同时被强制安装多款流氓软件,比如“一起来音乐助手”等。
2.comres.dll被恶意修改
comres.dll被恶意修改,处理不慎将致程序运行错误。
用户感染此病毒以后,开机会出现Windows文件保护提示框,告诫用户发现系统文件被修改;同时杀毒软件对感染的系统文件进行操作以后会导致系统异常。比如运行QQ等程序时出现无法定位程序输入点SYSCTM.COMRESMODULEINSTANCE于动态链接库COMRES.DLL上,又如提示找不到comres.dll。
3.ARP攻击,网速变慢
ARP防火墙会拦截到大量对外的ARP攻击,局域网网速明显变慢(通过ADSL拨号并使用路由器的也组成了一个小型局域网,请广大网友注意)。
另一个典型的特点是正常上网的其它电脑,访问任何页面都有可能遭受网页挂马攻击。
4.剑侠世界,地下城勇士等热门的网游、QQ尊贵靓号羊入虎口
该木马下载器会下载5个系列39款盗号木马,针对魔兽、天龙八部、剑侠世界、地下城勇士等当前最流行的网络游戏。
这个最变态了,中个宝马下载器,一次带39款盗号木马进来,窃贼显然想来个蚂蚁搬家。
防御方案
1.更新杀毒软件病毒库到最新病毒库,并开启文件实时监控功能,可完全防御该病毒入侵。
2.安装金山网盾可从源头阻断恶意病毒的下载。
3.局域网用户可以安装金山ARP防火墙防御该病毒的ARP攻击。
一键清除方案:
对已经中毒的网民,可下载金山急救箱并升级到最新版本,可一次扫描重启后完全清除该病毒变种及其下载的盗号木马变种。
作者:木淼鑫
【赛迪网-IT技术报道】目前国内并未发生一起银行系统被黑客入侵的事件。相对攻击难度高、代价大的银行系统,不法分子更多的是对使用网银交易的终端用户“下黑手”,网银安全事故的发生集中在用户对于网银的使用过程中。
据了解,国内网银目前分为大众版和专业版两种。“根据这两种形态,网银安全问题主要包括密码安全保护和数字证书安全保护。”360安全中心的石晓虹博士表示,“一般来说,不法分子主要通过盗取网银账户密码作案、在‘肉鸡’电脑上直接转账、充分利用网银用户不良使用习惯等三种手段偷钱。其中,第一种手段主要针对大众版,而后两种主要针对专业版。”
石晓虹表示:“网银交易危机频发的症结关键在于用户的安全意识和防护措施。国内网银用户的安全意识普遍比较薄弱,误认为设置复杂的密码就可以保护网银安全。其实利用木马的盗窃团伙大多是偷窥到用户的密码,然后随意进入受害用户的大众版网银,并采用小额盗窃方式,很多用户丢了钱可能自己并不知道。相对于安全系数较高的专业版网银,大众版网银的安全隐患尤为突出。”
据介绍,从前不法分子主要是利用“字典攻击”和“穷举攻击”破解密码,也就是编个软件自动试探密码,而目标账户的生日和电话等身份信息也极容易成为密码被猜透的根源。银行安全体系为此分别在技术上和管理上进行针锋相对的防护,比如设置网银和银行卡密码输入错误次数的限制。很多人更是在耳濡目染中形成了根深蒂固的观念,认为设置复杂的密码就足以保护账户安全,而事实上,目前犯罪分子的手段已经从“破解密码”转变成了“偷窃密码”,在各类“肉鸡”控制工具和网银盗号木马的面前,密码复杂与否并没有本质差别。
在石晓虹看来,不法分子用木马盗窃网银和用摄像头偷窥银行卡密码的本质其实是一样的:在银行卡被盗用案例中,最为常见的是ATM机上被不法分子偷贴针孔摄像头,一旦有人使用银行卡取钱,密码就会被偷录下来。而在木马盗取网银的案例中,那些潜伏在用户电脑中的木马程序同样具备了“摄像头”的功能,相当于不法分子给自己装上了“千里眼”:用户的键盘操作、电脑桌面、浏览器的交互数据都被严密监控,密码设置得再复杂也无济于事,一旦不法分子“记录”下了密码,便可通过大众版网银以小额支付或转账的方式窃取钱财。
“相对而言,使用U盾数字证书的专业版网银安全系数还是很高的,但用户也必须在完成网银操作后及时将U盾拔下来,否则对于‘灰鸽子’等‘肉鸡’控制工具来说,可以直接远程操作在受害用户电脑上进行转账交易。”石晓虹提醒专业版网银用户也不可放松警惕:“此外,不法分子在盗取网银时诈骗手段的使用特别活跃。在各类理财论坛中,很多用户反馈自己被一些特价信息蒙蔽,在‘钓鱼’页面上按引导支付1元之后网银密码便失窃了,造成的损失通常在上千元人民币。”
作者:木淼鑫
【赛迪网-IT技术报道】在360安全中心截获的“专业”网银盗号木马中,“网银大盗”、“网银窃贼”以及“网银隐身劫匪”等木马及其变种数以千计,它们针对网银用户进行特殊的设计:有的能自动判断网银操作正在进行,并记录键盘操作;有的是在用户访问网银页面时劫持浏览器数据;有的甚至直接将网友访问的网银页面劫持到伪造的“钓鱼”页面。一旦不法分子“记录”下了密码,便可通过大众版网银以小额支付或转账的方式窃取钱财。
此外,以“灰鸽子”为代表的远程控制木马可以任意修改或盗取中招用户电脑中的文件、记录键盘信息、查看用户的操作等,中招电脑在网络世界的另一边毫无秘密可言,一些专业版网银用户被盗便是因为电脑中了此类木马受到不法分子的遥控,在U盾没拔下或网银数字证书保存在电脑中的情况下,对方可以直接在自己的电脑上登陆网银进行转帐操作。
网银大盗图片说明:这是一款“网银大盗”的木马生成器,不法分子在向木马作者缴纳一定注册费后(费用标准与所选择的功能挂钩),再填入收取所盗网银帐号密码的FTP服务器地址,便可以生成专为自己进行网银盗号的木马。它所生成的木马无论通过何种形式传播,盗取的网银帐号和密码都会自动发送到不法分子指定的服务器中。
灰鸽子图片说明:这是“灰鸽子”远程控制木马的控制界面,不法分子可以对中招机器进行的操作包括:文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理,捕获屏幕,视频监控,音频监控……可以说,用户在本地能看到的信息,使用灰鸽子远程监控也能看到。如果用户在电脑上进行网上银行交易,则远程屏幕监控容易暴露用户的帐号,再加上键盘监控,用户的密码也岌岌可危。
假冒网银站点图片说明:这是一个伪造工行网银支付界面的钓鱼网页,通过地址栏可以看到,它的URL与正当工行支付网页的URL完全不同,这也是当前常见的网银盗窃手段,即不法分子利用各类诱惑信息欺骗网银用户首先进行一个小额支付(通常为1元),发来的链接却是钓鱼网页,以此偷取受害用户的网银信息。