[摘要]使用网上银行的用户今后可要提高警惕了!如果不小心,您很可能就会掉进“间谍件”的陷阱里。“间谍件”一词来自英文“Spyware”的直译,它是一种恶意计算机代码,工作原理与木马(即TrojanHorse,又称特洛伊木马)类似,也可称之为木马的一种。最近在国内被发现的“网银大盗”就是一种间谍件,始作俑者用
使用网上银行的用户今后可要提高警惕了!如果不小心,您很可能就会掉进“间谍件”的陷阱里。
“间谍件”一词来自英文“Spyware”的直译,它是一种恶意计算机代码,工作原理与木马(即Trojan Hor se,又称特洛伊木马)类似,也可称之为木马的一种。最近在国内被发现的“网银大盗”就是一种间谍件,始作俑者用它来窃取网上银行使用者的账户和密码。
4月27日,最早监测到该木马的北京江民公司和记者说:中国工商银行是“网银大盗”的第一个受害者,目前尚未发现第二个受害者,但该木马的变种非常有可能会制造新的受害者。
4月13日,江民公司反病毒监测小组接到一个外地用户的报告,说发现了一种“新病毒”。
原来,这个用户在维护电脑时,发现其系统注册表被改动了,表里增加了一个新的启动程序,该程序并不是常用程序,用杀毒软件也检查不出来,于是用户怀疑其为“新病毒”。这个用户是个技术发烧友,江民公司很快就从他那里获得了“新病毒”的代码,并在当天更新了其反病毒数据库。
事实上,这个“新病毒”并非严格意义上的计算机病毒(virus),其工作原理更像木马。
据IT专家介绍,木马是与病毒“并驾齐驱”的两种不同的计算机恶意程序,即通过恶意代码来给系统设置一些后门,然后通过后门把用户的信息发送给特定的地址。由于其工作原理与病毒有较大不同,所以计算机技术分类者经常把它们作为两种不同的恶意程序,而人们经常所说的“木马病毒”并不确切,正如 “蠕虫病毒”的说法也不太确切一样DD2001年之后,蠕虫(worms)经常被与病毒相提并论,逐渐被技术分类者划分为一种新恶意程序,主要是由于其大规模流行。
这个木马隐藏在某些网页或Email附件中,当用户打开这些网页或附件时,如果浏览器或系统的安全设置不是足够高或没有及时来更新补丁,这些恶意程序就会自动运行,并生成一些文件,以后每次开机都自动运行。当用户登录工商银行的网上银行页面时,该木马就会自动监测到这个浏览动作,然后修改用户登录的合法页面。如果不仔细观察,用户很难发现此时的合法页面地址已经被修改为非法的地址。在该非法地址下,用户输入的网上银行账户和密码,都会被该木马在系统后台自动发送到一个预先设置的Email地址,始作俑者就通过这一个Email地址来搜集用户的网上银行账户信息。
由于主要用来偷窃网上银行账户和密码,这只木马就被命名为“网银大盗”。普通用户检测是否已被“网银大盗”打中的办法很简单:查找系统中是否有expl0rer.exe和expl0rer.dll两个文件,这两个特别类似explorer.exe和explorer.dll的文件是由“网银大盗”生成的。但杀死这个大盗并不那么简单,仅仅删除上述两个文件并不起作用,因为该木马一旦启动,就会随时监测这两个文件是不是真的存在,如果被用户删除,它会随时重新恢复它们。如果您恰巧不幸被大盗打中,最好使用专业反病毒软件或监测软件来处理问题。目前尚无一劳永逸的解决方案,只有逐步的提升自己的“免疫力”是关键DD不断地更新系统补丁,不断地更新反病毒软件的代码,设置更高的系统安全级别。
据江民公司透露:工商银行总行研发负责人及其网上银行交易系统的研发负责人、微软 的技术工程师,与江民公司反病毒小组成员一起测试了这只木马的工作原理,并确认了该木马对工商银行网上银行交易的潜在危害性。
“但直到上周日(4月25日),我们并没看到有什么改变。”江民公司首席技术官严绍文4月27日说,工商银行的反应并不快。记者在当天登录工商银行网站网络银行网页时,并未曾发现什么异常,也没有遇到被“网银大盗”打中的症状。
记者就此事件采访了工商银行总行信息科技部安全生产处一位姓赵的先生,他说“记者找错了采访对象”,他“不便谈此事”,但同时承认“知道此事”,并“正在与江民公司谈论解决方案”。另有新闻媒体报道,工商银行总行一位姓李的处长说,他们已有一些安全措施来防范“网银大盗”的问题。
这两位工商银行工作人员均声称:目前尚未发现有用户被“网银大盗”窃取了账户和密码并造成损失。但直到记者发稿时,工商银行网站上并没有对此事做出任何提示,工商银行总行也未对此事做出任何公开声明或广告。若不是江民公司4月27日召开的新闻发布会,恐怕此事还会继续处于“保密”状态中。
“公安部门已经对此立案,”江民公司的杜红超说,“正因如此,我们才不便透露‘网银大盗’中的Email地址。”通过该Email地址,公安部门可能会追踪到一些“网银大盗”始作俑者的蛛丝马迹,据说该Email地址是一个免费地址。但赛门铁克公司中国区技术经理郭训平认为,要破这个案子“比较难”,至少“从技术上非常有难度”,首先这个免费邮件地址的信息就很可能是假的,其次,我们的网络管理服务还不是很发达完善。2000年美国曾经破获过一次类似案件,那要归功于当时相对完善的网络定位系统。
郭训平说:“我们现在可以做的是对泄漏出去的账户进行监控,看木马作者是否会用它们在网上消费,但如果作者的目的不是为了钱财,只是为了恶作剧,就很难破案了。”
4月18日,江民公司又捕获了“网银大盗”的变种。通过一系列分析两次发现的恶意代码,反病毒小组认为:“大盗”作者借鉴了目前盗取在线游戏账号和密码的制作的过程,并对工商银行的网上交易体系有较深研究,在此基础上,开发了这只特洛伊木马。
4月27日,江民公司公开了“网银大盗”的几个基本技术特征:33792字节,只能运行于Windows操作系统,有两个计数器,不依赖Email系统就可以发送电子邮件,具有自我监测功能(监测是否被手动删除),自动识别某些安全软件(假如发现,很有可能会中止安全软件的运行)。
据赛门铁克公司中国区技术经理郭训平介绍,2000年美国曾经发生过一次间谍件攻击网上银行的事情。当时有近50万个信用卡账户和密码被黑客窃取,黑客将这一些信息转卖给了当地黑社会组织。据说,日本和欧洲等信用卡使用比较流行的国家也出现过类似案例。
2004年3月,美国加州参议员Barbara Boxer、奥尔良州参议员Ron Wyden和蒙大拿州参议员Conrad Burns向国会提交了针对间谍软件的提案DD“提升消费者知情软件原则法案”( Spy Block Act)。
该提案的目标是让用户了解这些软件是何时被下载的,这样就可以决定是不是安装,而且删除也要很简单。美国贸易委员会未来将会负责实施这一法案。美国贸易委员会已于4月19日在华盛顿举行研讨会收集有关Spywa re的信息。
此外,美国尤他州的立法机构向该州州长提交了一项通过的议案。加立福尼亚等州也在考虑限制此类间谍件的法案。
但由于间谍件威胁相对不太明朗,美国贸易委员会的官员对是否打击间谍件犹豫不决。美国国会有关人士也称,今年通过新的反间谍件法案可能性不大。
对于间谍件,我国目前尚未出台针对性的法律和法规,防范措施还仅限于技术应对阶段。
目前,国内部分银行采用的一些服务措施会降低一些网上银行交易风险,如国内某银行在用户刷卡消费后再用手机短信通知用户相关消费信息,也有用Email、电话等方式通知的,这在某些特定的程度上降低了用户账户被盗用的危险。
对于网上银行服务提供商,有IT专业的人建议:网上银行的服务器应该进行加密,保障信息在通道中传输是安全的,加强服务器网络的安全防范措施。一些银行采用了三道异构防火墙(一般由不同的厂商提供),可以有效的预防内部人员做案。一旦做案,也会有比较详细的记录。有些间谍件在做案完后会自动删除日志上的记录,但是高端的网上银行服务器通常会把一个服务器上的作业同时抄送给其他服务器,间谍件的远程操作一般只会改动一个服务器上的信息,这样,异地多处存储就能够尽可能的防止日志信息被删除。
“我们并没有专门跟踪Spyware的工程师,”冠群金辰公司首席技术官郑林说,“Spyware并不是危害最大的恶意程序,从技术上不难解决。稍微有点技术功底的电脑使用者,只要通过系统设置就可以防范大部分Spyware的陷阱。”郑林说,冠群金辰目前并没有为间谍件专门开发新产品或新插件。
“我们没有专门针对它的产品,一是其危害级别不够,二是非常好防范。”郭训平说,“按照我们的病毒级别评判体系,Spyware并没有太高级别,其针对性很强,扩散能力和危害范围都有限,传播能力不强,传播速度也不快,因此我们将其定义为‘Expanded Threat(扩展性危害)’。”
间谍件(Spyware)有时候被称为“新垃圾邮件”,它可以透过防火墙和反病毒软件,与下载的合法程序捆绑进入你的电脑。通常,它会向你发有明确的目的性的弹出式广告,占据电脑内存。严重的时候,它会盗取密码和信用卡账户,甚至让远方的用户控制你的电脑。更具危险的间谍件可以监控你的按键,以盗取信用卡信息或其他私秘信息。
常见的间谍件之一是“广告件”(Adware),它跟踪用户的网络浏览,并向广告主发送数据,然后根据你的兴趣发送弹出广告。在美国某些州,大部分广告件是合法的。
据美国民主与技术中心的政策分析师Mic hael Steffen称:“间谍件进入PC的通常方式是它们能与其他免费下载的软件捆绑,这可以包括文档共享、屏报或其他免费软件。”专家还称,除了弹出广告或者使系统变慢,用户可能不会注意到间谍件的存在。这些间谍件通常会在最终用户许可协议中要求用户许可,多数用户不会用心阅读许可协议就选择了同意。
间谍件有时会与cookies(小甜饼)混淆。Cookies 是网站用来记录用户访问信息的数据,而不是应用软件。多数浏览器都被网站安装了cookies,以帮助用户更快和更容易进入,比如记住登录或注册ID、用户喜号或者购物车信息。Cookies 可以引发隐私问题,但不被视为间谍件。
很难说出感染间谍件的计算机数量,一位行业专家称,每台电脑中有几率存在30多种“间谍件”,在不知情的情况下秘密地发送用户的上网信息。他估计,大约90%的联网电脑可能受到了感染。
一个流行的间谍件检测程序--Spybot Search & Destroy列出了800种它检测和删除的间谍件。
互联网服务提供商EarthLink和隐私软件公司Webroot对100台PC进行的检测,发现了2950万个间谍件。EarthLink公司副总裁Matt Cobb称:“这一数字相当于每台电脑隐藏有28个间谍件。尽管多数间谍件都是与广告有关的,相对无害;但让人忧虑的是还发现了超过30万的更严重系统监控和木马软件。这说明用户面临的身份盗窃或系统安全的严重程度。”
华盛顿大学研究了该大学31303台电脑上的4个最普通的间谍件DDGator、Cydoor、SaveNow和eZula,结果发现,5.1%的计算机至少安装了其中一种间谍件,尽管大部分机器在网络防火墙的保护之下。研究还发现,Gator和eZula上的安全漏洞可能会被第三方入侵,从而变得更具危害性,还可以控制电脑。
Browser Hijacker(浏览器劫持软件) 该软件改变网络浏览器设置或搜索功能,比如修改主页,以更好跟踪或欺骗用户 153种
Keyloggers(键盘跟踪软件) 一种特别危险的间谍件,它记录所有的按键动作以捕获密码、账户和信用卡账号 63种
Malware(恶意程序) 各类能控制计算机或破坏文档的恶意软件,比如病毒、蠕虫、木马等 168种
Spybots(间谍病毒) 一种典型的间谍件,它监测用户行为,搜集活动信息,并秘密传送给第三方 142种
本站系本网编辑转载,会尽可能标注明确出处,但不排除无法标注明确来源的情况,转载目的是传递更加多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: 我们将在收到邮件后第一时间删除内容!
[声明]本站文章版权属于原本的作者所有,内容为作者本人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。
4月2日:工信部规模以上电子信息制造业增长48.5%;中芯国际宣布全线日:互联网公司完成业务收入1990亿元;华为去年营收增长3.8%
3月29日:华为小米等手机应用商店暂停下载耐克、阿迪达斯等App;鸿蒙系统即将出世
3月26日:过去4年中苹果收购的AI公司数量最多;亚马逊发布三驾马车中国业务战略
3月25日:华为将投入超2亿美元建设生态;密斯不看好金融科技公司发行数字币
3月24日:1-2月电信业务收入2373亿元;百度汽车最迟2024年量产
3月23日:2020四季度融合系统同比微弱增长0.2%;银行推广数字人民币货币钱包
/g,); str = str.replace(/[ ]/g, ); return str; } var title = 深度:网上银行遭遇“间谍件”; var description = clearBr( 使用网上银行的用户今后可要提高警惕了!如果不小心,您很可能就会掉进“间谍件”的陷阱里。“间谍件”一词来自英文“Spyware”的直译,它是一种恶意计算机代码,工作原理与木马(即TrojanHorse,又称特洛伊木马)类似,也可称之为木马的一种。最近在国内被发现的“网银大盗”就是一种间谍件,始作俑者用 ); var thumb = ; var url =