金山毒霸反病毒专家李铁军表示,此木马有着较强的“破坏现场”能力。一旦盗号成功,木马就会读取windows的备份文件夹,将感染的iexplore.exe恢复成正常,使得用户无法找到它的犯罪证据。
李铁军分析指出,这个针对工商银行网银的盗号木马在运行后,会感染用户系统中IE浏览器的主程序iexplore.exe,利用IE来截获用户的网银信息。由于病毒体型小,以及病毒作者采取比较“节约空间”的感染方式,受到感染后的iexplore.exe程序大小不会变生改变。当用户使用IE浏览器登陆工商银行网银系统进行网上交易时,全部敏感信息都会被该木马记录下来。当获取到账号信息后,木马就悄悄连接病毒作者指定的一个远程服务器,让病毒作者(木马种植者)掌握用户的银行账号、密码,甚至个人隐私,给用户造成无法估计的重大损失。
据了解,本周内广大电脑用户除了需要警惕“网银隐身劫匪”之外,还需要特别警惕“IRC肉鸡311296 ”(Win32.Hack.SdBot.311296)与“AUTO下载器1433360”(Win32.TrojDownloader.losabel.bl.1433360)两大病毒。前者是一个后门程序,使木马作者能以“聊天”的方式不断地向中毒电脑发送命令,记录用户的键盘动作、抓取用户的屏幕、下载文件、向远端计算机发起DOS攻击、自我更新、关闭指定的进程、开启用户机器上的默认共享、将获取的用户信息发送给指定邮箱。金山毒霸反病毒专家提示用户不要随便接收别人发给的文件和过于贪图IRC上的免费资源。后者病毒运行后,迅速破坏安全软件的正常运行,然后从后台开启网络连接,下载包括盗号木马在内的大量恶意程序,给用户造成无法估计的巨大损失。为防止其它未知AUTO病毒的入侵,可利用金山“清理专家”关闭磁盘的自动运行功能,降低安全隐患。
金山毒霸反病毒专家提示,只要有网上支付发生,病毒作者就不会放过从中获利的机会,盗号木马并非窃取网游账号那么简单。由于采取网络转账,赃款可能会较难追回,因此需要使用网银的用户,一定要养成良好的网银使用习惯,及时安装银行提供的官方安全插件、只从银行官网登录网银,以及经常使用杀毒软件扫描系统等