"網銀隱身劫匪"大肆攻擊工商銀行網銀賬戶

「網銀隱身劫匪」（Win32.Huhk.d.7607），這是一個感染型病毒，用於盜竊工商銀行網銀賬戶。盜竊成功後對系統進行修復，隱蔽得非常好，極其惡性。

「病毒下載器135168」（Win32.Troj.LwyMum.yc.135168），這是一個使用Delphi編寫的感染型木馬病毒。病毒運行後會查找卡巴斯基監控窗口並關閉，然後在後台悄悄連接網絡，從遠程伺服器下載病毒至用戶計算機。病毒會感染用戶硬碟上的所有.EXE和.SCR文件，感染後的文件會多出一個名為".KAO"的節，這時感染的文件日期即為被感染時間。

一、「網銀隱身劫匪」（Win32.Huhk.d.7607） 威脅級別：★★

病毒編寫者在製作大量針對網游的盜號木馬的同時，也從來沒忘記過把目標瞄準銀行裡的真實財產，只要有網上支付發生，病毒作者就不會放過從中搞鬼的機會，毒霸病毒分析專家昨日捕獲到的網銀木馬，再次提醒我們，盜號木馬絕對不止竊取網游賬號那麼簡單。

這個針對工商銀行網銀的盜號木馬在運行後，會感染用戶系統中IE瀏覽器的主程序iexplore.exe，利用IE來截獲用戶的網銀信息。由於病毒體型小，以及病毒作者採取比較「節約空間」的感染方式，受到感染後的iexplore.exe程序大小不會變生改變。但當用戶使用IE瀏覽器登陸工商銀行網銀系統進行網上交易時，病毒就會將截取眾多信息。包括用戶的支付卡號、接收卡號、密碼、收款人姓名、收款人所在地、交易流水號、收款網點機構名、收款人所在網點機構、總金額等全部的敏感信息都會被該木馬記錄下來。

獲取到賬號信息後，木馬就悄悄連接病毒作者指定的一個遠程伺服器，讓病毒作者（木馬種植者）掌握用戶的銀行賬號、密碼，甚至個人隱私，給用戶造成無法估計的重大損失。而且由於採取網絡轉賬，贓款可能會較難追回，因此需要使用網銀的用戶，一定要養成良好的網銀使用習慣，比如及時安裝銀行提供的官方安全插件、只從銀行官網登錄網銀，以及經常使用殺毒軟體掃瞄系統等。

另外，此木馬有著較強的「破壞現場」能力。一旦盜號成功，木馬就會讀取windows的備份文件夾，將iexplore.exe恢復成正常，使得用戶無法找到它的犯罪證據。

二、「病毒下載器135168」（Win32.Troj.LwyMum.yc.135168） 威脅級別：★

此病毒運行後，會在系統中生成一個標記。這樣，如果以後有它的病毒副本再此進入用戶電腦，就能發現這台電腦已經是它的地盤，從而防止重複運行造成浪費時間和不必要的出錯。接著，然後查找並關閉殺毒軟體卡巴斯基的實時監控窗口AVP.Tray，讓自己接下來的破壞活動能順利進行。

病毒創建線程，感染用戶硬碟中的.EXE和.SCR文件，感染後的文件會多出一個名為「.KAO」的節，這時感染的文件日期即為被感染時間病毒查找並注入IE窗口。同時，它在後台連接病毒作者指定的地址hxxp://xx.a**k*v.com，悄悄下載更多其它病毒到用戶電腦中運行，引發更多無法預計的破壞。

順便提及，病毒在搜索硬碟中的EXE文件進行感染時，會避開WINDOWS、Internet Explorer、Outlook Express、Windows Media Player、WinRAR等少數幾個目錄下的文件。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(