银行木马也许是目前恶意软件中最邪恶的一种,因为它会直接从你的银行账号中取走钱。
且不说他们在过去已经带来过多少危害,我们只看一下新一代的银行木马,据多位安全研究人员称,它们的行为更加隐蔽。
安全公司LURHQ的高级安全研究员Joe Stewart,写了详细的银行木马发展史。
第一代是在2001年之前的变种,作为普通后门,进驻用户PC。接着黑客通过后门进入,并获得对用户信息的访问。
Stewart记录的例子是BackOrfice,第一次出现在1998年。
第二代银行木马针对性更强,预先打包,然后寻找所需信息、自动实施盗窃。
“bancos”木马就是一个有许多变种的第二代的典型例子。据Stewart所言,变种数量和各种银行木马真正的名称都不容易确定,因为不同的反病毒公司对同样的病毒的命名是不一致的。
至于Bancos,赛门铁克的数据库中就记载了26个不同名字的变种。
第三代银行木马事实上可以自动模拟用户行为。
Steward说:第三代银行木马会偷走你的信息,然后从你的账户中取走钱。第三代银行木马是以“Win32.Grams”的出现开始的,时间是2004年。
Stewart讲述了他怎样建立虚假用户环境,来反击第三代银行木马、并跟踪它对受害者的进攻过程。针对以前捕捉击键记录的木马,有些银行设置了在线的软键盘,让用户敲入密码。
想法是这样的:客户用软键盘输入密码替代在键盘敲入密码,就可以防止真实密码被盗。
可是银行错了。
第三代银行木马可以准确地抓取用户的电脑屏幕。Stewart展示了他自己关于木马输出的分析,屏幕被抓取,软键盘的真实密码被清楚地显示出来。
Stewart估计,目前3G银行木马还没有广泛传播,但成为重点。
到现在为止,被攻击最严重的是巴西银行,所有大多数美国人还不必太担心,不过很快就会到来。
Stewart指出,对于安全专业人员,系统日志可以帮助分辨是否一个自动的3G木马被激活。
Stewart说,基本上一个木马感染了IE或者一个浏览器,用户的字符串头会被追加上一些字符“NET CLR”。
其他的浏览器帮助代理(BHO),例如第三方工具条,也潜在地产生相同的用户字符串,但一个自动木马确实做一些人类不会发生的典型行为。
观察时间日志,如果某人的日志显示,登录一秒后就转移钱,你就碰到问题了。你不得不守夜,监视攻击。
超越紧紧追踪日志,一个新的软件可以组织将来的银行木马发作。Windows Vista将提供一个新特性来使得木马发作更为困难,其中包括IE的防火墙增强保护模式,Windows防护,更少使用根工具箱内核的权限。