新闻回放:网上惊现“证券大盗”
2004年11月25日,江民反病毒中心截获“证券大盗”木马病毒(Trojan/PSW.Soufan)。该木马可以盗取包括南方证券、国泰君安等多家证券交易系统的交易账户和密码,被盗号的股民账户存在被人恶意操纵的可能。
病毒运行后,自动监控一些特定的金融证券网站页面,当病毒监测到包含“南方证券”“国泰君安”等标题的网站窗口时,就开始使用键盘钩子程序自动记录用户登录信息,包括用户名和密码,同时,病毒还通过屏幕快照将用户登录时窗口画面保存为图片,在记录达到一定次数后,将记录的信息和图片通过电子邮件发送给病毒作者。
江民公司研发部总经理何公道介绍说,该病毒可能造成的危害在于,黑客可以恶意操纵被盗的股票,将某高价股票以低价卖出,然后自己买进后再转手卖出,赚取中间的差价,给被盗股民带来巨大的损失。更为狡猾的是,“证券大盗”病毒每次运行后即“自杀”,并删除自身在系统中留下的文件,达到消毁“罪证”的目的,“作案”手段十分隐蔽。
证券大盗病毒技术分析报告
病毒类型:特洛依木马
病毒大小:201216字节
危害等级:★★★
病毒的具体技术特征如下:
1.病毒运行后,将创建自身复本于:
%WinDir%\SYSTEM32.EXE, 201216字节
2.在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System"=%WinDir%\SYSTEM32.EXE
3.木马运行时寻找一些包含著名券商名称的窗口标题,如果发现就开始启动键盘钩子对用户登录信息进行记录,包括用户名和密码。
4.在记录键盘信息的同时,通过屏幕快照将用户登录时窗口画面保存为图片,存放于:
c:\Screen1.bmp
c:\Screen2.bmp
5.当记录指定次数后,将3,4中记录的信息和图片通过电子邮件发送到webmaster@****.com。
6.发送成功后,病毒进行自杀,将自身删除。
反病毒专家建议:防毒是根本
江民反病毒专家提醒用户,针对该病毒,防范胜于查杀。最好安装使用最新版本的杀毒软件,升级病毒库并打开实时监控程序,并将网上交易账号和密码设为隐私保护状态,阻止病毒向外发送信息。不要运行不明来历的邮件附件,未经确认,不要随意点击即时通讯上“好友”发来的不明链接,不要登录一些不良网站或是在一些小网站随意下载使用未经无毒验证的软件,以防“证券大盗”借机入侵。
目前部分股民仍然对此病毒存在侥幸心理,有人把该病毒等同于普通的键盘记录程序,认为在登录交易系统时使用软键盘,通过鼠标点击输入号码就可以安全无忧了。其实,“证券大盗”病毒已考虑到了这种网上证券交易系统使用的安全防范措施,该病毒在运行后,会通过屏幕快照将用户的登录界面连续保存为两张黑白图片,然后通过自带的发信模块发向指定的邮件接受者。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的登录账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上证券交易安全。
没有安装杀毒软件的用户,可使用江民免费在线查毒对系统进行安全检测,点击此处进行江民免费在线查毒。
券商回应:股民应做好防范
目前,“证券大盗”病毒已引起国泰君安等证券商的高度重视。成都国泰君安电脑部陈经理称,他们对此事已有一定的了解,虽然目前公司未发现有客户密码被盗的现象,但公司电脑部对这个木马病毒十分重视,并已就网上交易的安全问题与公司总部交涉。据他介绍,这种木马是针对特定软件的一种病毒,专门寻找安全程度较低的客户电脑进行攻击。他表示,该病毒确实有一定的攻击性,使用盗版软件进行网上交易的股民,如果不做好病毒防范就可能因此遭受损失。
南方证券四川分公司交易部代先生则表示,目前公司已经有20%左右的股票交易量是通过网上交易来完成,但目前还没有进行网上证券交易的客户投诉账户密码被盗。
据悉,国家证券管理部门也已经开始关注此事。