天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

网购安全:使用网银时须防范木马劫持

2012-11-12IT专家网博客

  今天,随着网购等在线服务的蓬勃发展,人们对网银的使用越来越广泛。尽管各大银行在为用户提供此项服务时都将安全视为重中之重,但是网络罪犯也总是不遗余力的寻求突破,以达到其不法目的。

  近日,卡巴斯基实验室就检测到一种劫持网银的木马,并命名为:Trojan-Dropper.Win32.Necurs.aaa。

  此木马会释放其它木马文件,将浏览器对某些银行的访问劫持到黑客仿制的网站,也就是各种针对银行制作,甚至有些以假乱真的钓鱼网站。木马运行后会首先创建文件%WinDir%\hobio.sys,然后创建文件%WinDir%\drivers\etc\host7。此文件为一个hosts文件,用于将某些银行网站劫持到黑客网站。然后检查系统中是否有杀软进程,如果没有,则创建服务启动hobio.sys驱动程序,如果有则释放文件%WinDir%\son.dll并为其创建注册表启动项:

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run rundll32.exerundll32.exe son.dll,Prkt

  然后木马会重启计算机使得释放的dll在重启后得以加载。son.dll 被卡巴斯基检测为Trojan-Banker.Win32.Qhost.abat,用于创建服务启动hobio.sys。hobio.sys 被卡巴斯基检测为Trojan-Banker.Win32.Qhost.abat,会挂钩以下函数:

  NtCreateFile

  NtOpenFile

  NtQuerySystemInformation

  NtQueryDirectoryFile

  ZwQueryKey

  ZwEnumerateValueKey

  ZwEnumerateKey

  通过挂钩上述这些函数此木马可以隐藏木马文件和注册表,将浏览器对hosts文件的访问重定向至host7,阻止某些安全软件访问其病毒库文件。

  不论网络罪犯的伎俩有多高明,只要用户做好相应的安全防范工作,例如安装一款专业的安全解决方案并保持更新,是完全可以避免自己的网银账户不会受到恶意程序的侵扰。此外,卡巴斯基实验室也提醒广大的用户在使用网银时也要留意所访问站点的域名、内容等信息是否出现异常,切不可马虎大意,否则,一旦在钓鱼网站中输入自己的个人账户信息,就等于让黑客操控了您的银行账户。

本文来源:IT专家网 作者:博客

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行