作者：李鐵軍

【賽迪網-IT技術報道】近期應警惕一個名為BMV(寶馬下載器)的病毒，據統(tǒng)計：該病毒通過100萬次左右的攻擊，成功入侵了6萬臺左右的電腦。主要通過入侵政府網站、學校網站、中小型網站掛馬傳播，也通過騰訊問問、硅谷動力等網站的xss漏洞傳播，日新增掛馬網站3000余個。

該病毒的惡意行為：

1.IE主頁被修改

IE主頁被修改為hxxp://www.ku266.com，同時被強制安裝多款流氓軟件，比如“一起來音樂助手”等。

2.comres.dll被惡意修改

comres.dll被惡意修改，處理不慎將致程序運行錯誤。

用戶感染此病毒以后，開機會出現Windows文件保護提示框，告誡用戶發(fā)現系統(tǒng)文件被修改；同時殺毒軟件對感染的系統(tǒng)文件進行操作以后會導致系統(tǒng)異常。比如運行QQ等程序時出現無法定位程序輸入點SYSCTM.COMRESMODULEINSTANCE于動態(tài)鏈接庫COMRES.DLL上，又如提示找不到comres.dll。

3.ARP攻擊，網速變慢

ARP防火墻會攔截到大量對外的ARP攻擊，局域網網速明顯變慢(通過ADSL撥號并使用路由器的也組成了一個小型局域網，請廣大網友注意)。

另一個典型的特點是正常上網的其它電腦，訪問任何頁面都有可能遭受網頁掛馬攻擊。

4.劍俠世界，地下城勇士等熱門的網游、QQ尊貴靚號羊入虎口

該木馬下載器會下載5個系列39款盜號木馬，針對魔獸、天龍八部、劍俠世界、地下城勇士等當前最流行的網絡游戲。

這個最變態(tài)了，中個寶馬下載器，一次帶39款盜號木馬進來，竊賊顯然想來個螞蟻搬家。

防御方案

1.更新殺毒軟件病毒庫到最新病毒庫，并開啟文件實時監(jiān)控功能，可完全防御該病毒入侵。

2.安裝金山網盾可從源頭阻斷惡意病毒的下載。

3.局域網用戶可以安裝金山ARP防火墻防御該病毒的ARP攻擊。

一鍵清除方案：

對已經中毒的網民，可下載金山急救箱并升級到最新版本，可一次掃描重啟后完全清除該病毒變種及其下載的盜號木馬變種。

作者：木淼鑫

【賽迪網-IT技術報道】目前國內并未發(fā)生一起銀行系統(tǒng)被黑客入侵的事件。相對攻擊難度高、代價大的銀行系統(tǒng)，不法分子更多的是對使用網銀交易的終端用戶“下黑手”，網銀安全事故的發(fā)生集中在用戶對于網銀的使用過程中。

據了解，國內網銀目前分為大眾版和專業(yè)版兩種。“根據這兩種形態(tài)，網銀安全問題主要包括密碼安全保護和數字證書安全保護。”360安全中心的石曉虹博士表示，“一般來說，不法分子主要通過盜取網銀賬戶密碼作案、在‘肉雞’電腦上直接轉賬、充分利用網銀用戶不良使用習慣等三種手段偷錢。其中，第一種手段主要針對大眾版，而后兩種主要針對專業(yè)版。”

石曉虹表示：“網銀交易危機頻發(fā)的癥結關鍵在于用戶的安全意識和防護措施。國內網銀用戶的安全意識普遍比較薄弱，誤認為設置復雜的密碼就可以保護網銀安全。其實利用木馬的盜竊團伙大多是偷窺到用戶的密碼，然后隨意進入受害用戶的大眾版網銀，并采用小額盜竊方式，很多用戶丟了錢可能自己并不知道。相對于安全系數較高的專業(yè)版網銀，大眾版網銀的安全隱患尤為突出。”

據介紹，從前不法分子主要是利用“字典攻擊”和“窮舉攻擊”破解密碼，也就是編個軟件自動試探密碼，而目標賬戶的生日和電話等身份信息也極容易成為密碼被猜透的根源。銀行安全體系為此分別在技術上和管理上進行針鋒相對的防護，比如設置網銀和銀行卡密碼輸入錯誤次數的限制。很多人更是在耳濡目染中形成了根深蒂固的觀念，認為設置復雜的密碼就足以保護賬戶安全，而事實上，目前犯罪分子的手段已經從“破解密碼”轉變成了“偷竊密碼”，在各類“肉雞”控制工具和網銀盜號木馬的面前，密碼復雜與否并沒有本質差別。

在石曉虹看來，不法分子用木馬盜竊網銀和用攝像頭偷窺銀行卡密碼的本質其實是一樣的：在銀行卡被盜用案例中，最為常見的是ATM機上被不法分子偷貼針孔攝像頭，一旦有人使用銀行卡取錢，密碼就會被偷錄下來。而在木馬盜取網銀的案例中，那些潛伏在用戶電腦中的木馬程序同樣具備了“攝像頭”的功能，相當于不法分子給自己裝上了“千里眼”：用戶的鍵盤操作、電腦桌面、瀏覽器的交互數據都被嚴密監(jiān)控，密碼設置得再復雜也無濟于事，一旦不法分子“記錄”下了密碼，便可通過大眾版網銀以小額支付或轉賬的方式竊取錢財。

“相對而言，使用U盾數字證書的專業(yè)版網銀安全系數還是很高的，但用戶也必須在完成網銀操作后及時將U盾拔下來，否則對于‘灰鴿子’等‘肉雞’控制工具來說，可以直接遠程操作在受害用戶電腦上進行轉賬交易。”石曉虹提醒專業(yè)版網銀用戶也不可放松警惕：“此外，不法分子在盜取網銀時詐騙手段的使用特別活躍。在各類理財論壇中，很多用戶反饋自己被一些特價信息蒙蔽，在‘釣魚’頁面上按引導支付1元之后網銀密碼便失竊了，造成的損失通常在上千元人民幣。”

作者：木淼鑫

【賽迪網-IT技術報道】在360安全中心截獲的“專業(yè)”網銀盜號木馬中，“網銀大盜”、“網銀竊賊”以及“網銀隱身劫匪”等木馬及其變種數以千計，它們針對網銀用戶進行特殊的設計：有的能自動判斷網銀操作正在進行，并記錄鍵盤操作；有的是在用戶訪問網銀頁面時劫持瀏覽器數據；有的甚至直接將網友訪問的網銀頁面劫持到偽造的“釣魚”頁面。一旦不法分子“記錄”下了密碼，便可通過大眾版網銀以小額支付或轉賬的方式竊取錢財。

此外，以“灰鴿子”為代表的遠程控制木馬可以任意修改或盜取中招用戶電腦中的文件、記錄鍵盤信息、查看用戶的操作等，中招電腦在網絡世界的另一邊毫無秘密可言，一些專業(yè)版網銀用戶被盜便是因為電腦中了此類木馬受到不法分子的遙控，在U盾沒拔下或網銀數字證書保存在電腦中的情況下，對方可以直接在自己的電腦上登陸網銀進行轉帳操作。

圖片說明：這是一款“網銀大盜”的木馬生成器，不法分子在向木馬作者繳納一定注冊費后（費用標準與所選擇的功能掛鉤），再填入收取所盜網銀帳號密碼的FTP服務器地址，便可以生成專為自己進行網銀盜號的木馬。它所生成的木馬無論通過何種形式傳播，盜取的網銀帳號和密碼都會自動發(fā)送到不法分子指定的服務器中。

圖片說明：這是“灰鴿子”遠程控制木馬的控制界面，不法分子可以對中招機器進行的操作包括：文件管理、獲取系統(tǒng)信息、剪貼板查看、進程管理、窗口管理、鍵盤記錄、服務管理、共享管理，捕獲屏幕，視頻監(jiān)控，音頻監(jiān)控……可以說，用戶在本地能看到的信息，使用灰鴿子遠程監(jiān)控也能看到。如果用戶在電腦上進行網上銀行交易，則遠程屏幕監(jiān)控容易暴露用戶的帳號，再加上鍵盤監(jiān)控，用戶的密碼也岌岌可危。

圖片說明：這是一個偽造工行網銀支付界面的釣魚網頁，通過地址欄可以看到，它的URL與正當工行支付網頁的URL完全不同，這也是當前常見的網銀盜竊手段，即不法分子利用各類誘惑信息欺騙網銀用戶首先進行一個小額支付（通常為1元），發(fā)來的鏈接卻是釣魚網頁，以此偷取受害用戶的網銀信息。