今天,随着网购等在线服务的蓬勃发展,人们对网银的使用越来越广泛。尽管各大银行在为用户提供此项服务时都将安全视为重中之重,但是网络罪犯也总是不遗余力的寻求突破,以达到其不法目的。近日,卡巴斯基实验室就检测到一种劫持网银的木马,并命名为:Trojan-Dropper.Win32.Necurs.aaa。
此木马会释放其它木马文件,将浏览器对某些银行的访问劫持到黑客仿制的网站,也就是各种针对银行制作,甚至有些以假乱真的钓鱼网站。木马运行后会首先创建文件%WinDir%\hobio.sys,然后创建文件%WinDir%\drivers\etc\host7。此文件为一个hosts文件,用于将某些银行网站劫持到黑客网站。然后检查系统中是否有杀软进程,如果没有,则创建服务启动hobio.sys驱动程序,如果有则释放文件%WinDir%\son.dll并为其创建注册表启动项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run rundll32.exe rundll32.exe son.dll,Prkt
然后木马会重启计算机使得释放的dll在重启后得以加载。son.dll 被卡巴斯基检测为Trojan-Banker.Win32.Qhost.abat,用于创建服务启动hobio.sys。hobio.sys 被卡巴斯基检测为Trojan-Banker.Win32.Qhost.abat,会挂钩以下函数:
NtCreateFile
NtOpenFile
NtQuerySystemInformation
NtQueryDirectoryFile
ZwQueryKey
ZwEnumerateValueKey
ZwEnumerateKey
通过挂钩上述这些函数此木马可以隐藏木马文件和注册表,将浏览器对hosts文件的访问重定向至host7,阻止某些安全软件访问其病毒库文件。
不论网络罪犯的伎俩有多高明,只要用户做好相应的安全防范工作,例如安装一款专业的安全解决方案并保持更新,是完全可以避免自己的网银账户不会受到恶意程序的侵扰。此外,卡巴斯基实验室也提醒广大的用户在使用网银时也要留意所访问站点的域名、内容等信息是否出现异常,切不可马虎大意,否则,一旦在钓鱼网站中输入自己的个人账户信息,就等于让黑客操控了您的银行账户。