云南龙网

  1. 首页 > 云知道 > >

快乐耳朵——新钓鱼病毒全程追击始末

云知道

【快乐耳朵——新钓鱼病毒全程追击始末】作为第一个举报了“快乐耳朵”病毒的人 , 李先生并不高兴 , “我可能是第一个中了这种病毒的人” 。8月31日晚 , 从事IT业的李先生和往常一样接收邮件 , 这时一封主题为“快来看看我的偷拍作品”的邮件进入信箱 , 其中不乏刺激内容 , 李先生在查看过程中 , 不小心点击了邮件正文中的“中国丑恶现象偷拍网”的网址 , 在新页面弹出之前 , 弹出一个对话框 , 提示用户下载浏览网站必需的“编码器” , 李先生随手点击了“下载” 。“编码器”很快安装完毕 , 但是网页却没有反应 , 这时电脑运行和上网速度开始变慢 , 李先生出于职业敏感性产生了怀疑 , 他打开系统文件夹看到了两个陌生的系统文件 , 同时发现注册表也有异常 , 于是 , 李先生给瑞星客服中心发去了一封求助E-mail , 并附上了这两个异常文件 。
全程追击“快乐耳朵”
9月1日清晨 , 瑞星客服工程师在察看着用户来信时发现了李先生的信 , 按照有关规定 , 他们向北京市公安局网络监察处进行了情况汇报 。与此同时 , 按照工作流程 , 这封E-mail迅速从客服部转到了研发部以及各个相关部门 。
经过分析 , 很快得出结果 , 发现“快乐耳朵”病毒分为两种 , 它们是“快乐耳朵(Trojan.Happyear.a)”和“快乐耳朵变种B(Trojan.Happyear.b)”病毒 。这两个病毒技术特性相似 , 都是专门偷窃某银行个人版用户的银行资料 , 进而盗取用户资金 。跟此前出现的同类木马病毒不同 , 这两个病毒专门针对该银行个人版编写 , 可以取得该行网络银行专业版的数字证书、密码和账号 , 可以在网上实现完整的盗窃资金过程 , 对用户的危险极大 。
剖析了病毒 , 相应杀毒程序出台自然很快了 。同时瑞星也公布了反病毒急救电话 。不久 , 北京市公安局网监处 , 向公众发出了关于“快乐耳朵”的病毒警示 。及时反应 , 加上解决方案的迅速出台 , 使得 “快乐耳朵” 最终没有被广泛传播 。据瑞星在线杀毒统计 , 9月6日当天 , 感染该病毒的人数在20人左右 。而据公安和银行部门证实 , 截至目前 , 尚无网上银行因为该病毒受到损失 。
尽管紧急有效的措施 , 让人们松了一口气 , 但是此病毒的严重后果 , 却使人们后怕不已 , 究竟“快乐耳朵”是如何盗取银行账号的呢?
揭密行窃真相
“快乐耳朵”主要是针对某率先在网上进行转账、消费等业务的银行的 。因为该银行网上系统在不断升级、强化功能后 , 可进行网上转账、消费、理财等服务 。该系统要求 , 用户不但有账号和密码 , 而且要持有特定的数字证书文件 。
当用户中毒后登录该银行账号进行操作时 , 即可被病毒窃取账号、密码和数字证书 , “快乐耳朵”窃取了这些资料 , 可自动以邮件的方式 , 向特定的邮箱发送信息资料 。利用这些资料 , 攻击者可以任意操作用户的该行网络账户 , 进行转账、网络消费等 。网络大盗们在获得相关的个人资料之后 , 可通过转账、消费等延伸功能 , 盗取用户资金 。
经过瑞星研发部门分析证实 , “快乐耳朵”病毒是一种用Visual Basic语言编写的盗取用户信息(某银行登录信息)的木马病毒 。
该病毒包括三个程序:一是exp1orer.exe程序 , 此程序是病毒的主程序 , 运行时伪装为一个解码器 , 它通过搜索“IE标题栏”和“IE网址”检测是否正在登录某银行的网上银行 , 如果是则自动记录用户的键盘敲击信息 , 盗取如下资料:4.0主登录用户名、4.2主登录用户名、用户信息、证书恢复信息等;二是search.exe程序 , 通过此程序 , 病毒将自动在某范围内搜索邮件地址;三是sendmail.exe程序 , 这是病毒发送邮件的模块 , 病毒利用此模块向搜索到的邮件地址发送诱惑性的邮件 , 同时也会将盗取的信息发送到病毒传播者的特定邮箱 。

推荐阅读


上一篇:什么菜能用酸黄瓜做

下一篇:未来之战怎么升三阶