对于那些只对交易对话进行验证,而没有对交易过程进行验证的系统,嵌入浏览器的恶意代码甚至可以完全控制一次交易。这样的交易系统只对用户身份进行验证,而在用户身份确定之后无条件的执行任何来自用户的指令。木马可以等到用户验证通过后再开始工作,拦截用户的转账操作,篡改数据后发送给服务器,服务器没有办法区分给它发出转账指令的是用户还是木马,直接执行了转账,木马再把服务器返回的信息篡改后显示给用户。目前,这种技术只在国外的一些网银木马上看到,国内尚未发现这样的例子。
屏幕“录像”
有些网银木马的确会进行“录像”,它们并不会生成体积庞大的视频文件,而只是在键盘记录的基础上,额外记录了用户点击鼠标时的鼠标坐标,以及当时的屏幕截图。黑客根据这些数据,可以完全回放出用户在进行交易时敲击了哪些键、点击了哪些按钮、看到了什么结果。
“证券大盗”(Trojan/PSW.Soufan)就是这样的木马,它抓取的屏幕截图是黑白色的,数据量很小,但对于病毒作者来说,这些黑白图片加上键盘鼠标数据已经足够了。
窃取数字证书文件
数字证书是网银交易的一项重要安全保护措施。有些系统允许用户把证书保存成硬盘文件,这是一个安全隐患。2004年9月,TrojanSpy.Banker.s和TrojanSpy.Banker.t的作者仔细观察了某个人银行系统保存证书的整个流程后,编写了木马,他的程序能够准确识别这个流程的每个步骤,自动记录必要的数据,最终再复制一份证书文件。木马作者利用盗取的证书和其他必要信息达到非法使用证书的最终目的。
伪装窗口
2006年,国内出现了一系列新的网银木马,它们都是TrojanSpy.Banker.yy的变种,感染了很多用户。这类木马首先向IE浏览器注入一个DLL,用以监视当前网页的网址,同时记录键盘。当发现用户输入了卡号、密码并进行提交以后,迅速隐藏浏览器,弹出自己的窗口。木马弹出的窗口看上去和在线理财的页面非常相似,并且包含一些“钓鱼”文字:称由于系统维护需要,用户必须重新输入密码。只有当用户再次输入的密码和最初登录时的密码吻合时,木马才会把密码发送给木马作者。伪装成浏览器界面的木马实现简单,虽然技术上听起来比较幼稚,但效果却很好。
上面列举了网银木马的常用手段。实际情况是,大部分网银木马同时采用多种技术来保证窃取过程的成功率和隐蔽性。网上银行业务正在不断的普及、深入和扩展,越来越多的新业务形式正在涌现,比如运行在智能手机上的掌上银行。木马作者们的跟进速度总是很快,可以预见,更多更老练、更有创造性的方法也会在不久的将来被新网银木马所采用。
反病毒软件在客户端网银交易的安全解决方案
在网银交易中,各国都把反病毒软件都作为保护客户端网银交易的重要保护手段之一。
在中国,北京江民新科技术有限公司的KV系列反病毒软件,在保护中国网银用户网上交易起着重要安全保护作用。
北京江民新科技术有限公司是中国最大的信息安全技术开发与服务提供商之一,亚洲反病毒协会会员企业。研发和经营范围涉及单机、网络反病毒软件;单机、网络黑客防火墙;邮件服务器防病毒软件等一系列信息安全产品。江民科技开发的江民杀毒软件KV系列产品是中国公安部门检测一级品,并通过英国西海岸实验室(West Coast Labs)Checkmark反病毒最高级L2认证的中国反病毒软件。目前,江民反病毒软件在中国累计用户有4千多万。
由于网银木马种类繁多,技术多样。作为一款桌面安全产品,江民KV反病毒软件从网银木马的共性入手,集成实现了一套行之有效的解决方案。
基于行为的主动防御机制
包括网银木马在内的绝大多数恶意软件,都有一些共同特征。例如,
- 创建注册表键值,使自己可以在系统启动时自动运行;
- 创建自动加载的服务;
- 将自己设置为BHO插件或运行钩子等,依附于浏览器等常用进程启动;
- 创建远程线程,把代码注入到IE等进程,用以躲避防火墙;
- 采用Rootkit技术,用以隐藏和保护自己;
- 等等……
江民杀毒软件利用注册表监控、远程线程监视、反Rootkit、系统监控等技术,实现了对这些敏感行为的监控,能够在木马实现这些操作之前进行拦截防御,并提示用户。
在没有病毒库支持的情况下,主动防毒体制能够拦截绝大多数未知病毒。
共5页: 上一页 [1] [2] 3 [4] [5] 下一页
|