“网银间谍”木马

　　与以往的键盘记录程序不同的是，“网银间谍”木马强化了对银行信息获取，会重点检查用户是否使用了以下银行：中国光大银行、中国民生银行、中信银行、北京银行、广州农村商业银行、广州银行、顺德农村商业银行、顺德农商银行、网付通、chinapay.com、华夏银行、上海农商银行、中国邮政支付网关、中国邮政储蓄银行。如果找到这些银行信息，恶意程序就会伺机在用户登录网银账号的时候，窃取登陆信息。

　　经卡巴斯基实验室安全专家分析，“网银间谍”木马感染计算机系统后，会创建一个ravtask.exe进程，伪装成某款反病毒软件的进程，麻痹用户。该进程会时刻监控用户是否登录网银，一旦发现，就会将用户登录网银的屏幕截图，同时记录用户的键盘输入信息，并将相关信息储存在C:WINDOWSmsikclickshots和将用户计算机名、键盘记录信息保存至C:WINDOWSmsiklogs上。如下图所示：

　　
　　木马所保存的截图

　　
　　木马所记录的用户键盘输入信息

　　之后，恶意程序会将这些窃取到的信息发送至黑客的FTP，最终导致用户网银账号失窃，经济蒙受损失。

　　此次发现的这款恶意程序针对性很强，危害性也非常大。建议网银用户及时安装性能可靠的反病毒软件如卡巴斯基安全部队2011，彻底拦截此类恶意程序。另外值得一提的是，为了加强用户在使用网络银行时的安全，推荐使用卡巴斯基安全部队2011中的安全键盘功能，屏蔽恶意程序可能进行的截图和键盘记录功能，彻底杜绝此类敏感信息被盗。