2月27日,瑞星公司向廣大網(wǎng)民發(fā)出病毒警報,曾在2011年“叱咤風云”的“網(wǎng)銀超級木馬”再度來襲。據(jù)介紹,新版“網(wǎng)銀超級木馬”采用了100%借助正常軟件傳播、運行木馬的方式,使絕大多數(shù)殺毒軟件無法進行攔截,用戶在上網(wǎng)支付時會將銀行卡中的錢直接打到黑客賬戶中,對網(wǎng)民的網(wǎng)絡(luò)財產(chǎn)安全帶來嚴重威脅。專家提醒廣大網(wǎng)民在網(wǎng)上購物時,最好安裝具有“網(wǎng)購保護”功能的瑞星殺毒軟件,保證交易安全。(下載地址:http://www.rising.com.cn/2012/beta/index.html)
據(jù)瑞星安全專家介紹,新版“網(wǎng)銀超級木馬”為最近非常流行的網(wǎng)購型木馬,病毒會非法篡改支付寶頁面內(nèi)容,采用“移花接木”的方式盜取網(wǎng)銀賬號和錢財。病毒利用一款正規(guī)看圖軟件做幌子,利用其加載dll但缺乏驗證的漏洞,加載病毒模塊,并創(chuàng)建和注入傀儡進程,實現(xiàn)病毒的運行,從而躲避殺毒軟件的攔截和查殺。
“當用戶在上網(wǎng)購物時,往往會收到賣家發(fā)來的‘商品細節(jié)照片’等類似文件,此病毒就是利用這一點,將病毒偽裝成商品圖片,”瑞星安全專家介紹說,當用戶點擊運行此“細節(jié)圖片”時,首先打開了一個正規(guī)看圖工具,而實際帶有病毒功能的文件就是利用看圖軟件進行加載的。
病毒運行原理
值得注意的是,病毒主要針對用戶常用的網(wǎng)絡(luò)支付渠道,當發(fā)現(xiàn)用戶需要進行網(wǎng)上支付時,病毒便會發(fā)作。它會根據(jù)用戶的支付方式,彈出一個相應(yīng)的假的支付頁面(遮罩層)覆蓋掉真的支付頁面。當用戶在這個假支付頁面完成支付時,實際上是將財產(chǎn)轉(zhuǎn)到了病毒作者的賬戶里。
此外,該病毒更為惡劣之處是它會彈出支付失敗的頁面,提示用戶“對不起,本次支付失!系統(tǒng)超時導(dǎo)致了交易失敗,本次交易未扣款。請您返回商戶頁面重新進行支付”、“支付失敗,本次交易銀行未扣款,請您重新支付。說明:如果您的銀行已扣款,支付寶會在1-2個工作日內(nèi)將款項返回到您的銀行卡中”,繼續(xù)反復(fù)騙取用戶的財產(chǎn)。
據(jù)瑞星安全專家介紹,最新攔截的“網(wǎng)銀超級木馬”已經(jīng)成為本月最為活躍、危害最大的流行木馬病毒,廣大用戶在上網(wǎng)購物時應(yīng)開啟最新版的瑞星殺毒軟件2012版,其新推出的“網(wǎng)購保護”功能,可有效解決此類病毒問題。另外,用戶在上網(wǎng)購物下單時,應(yīng)嚴格按照規(guī)范流程進行操作,付款時認清收款方,避免出現(xiàn)將錢直接打進黑客賬戶的情況。