7月7日,金山毒霸全球反病毒监测中心发布周(7.7-7.13)病毒预警,本周内一个新型的网银盗号病毒 “网银黑客盗号器61440”将严重威胁网银用户的帐户安全。
金山毒霸反病毒专家李铁军表示,“网银黑客盗号器61440” 是一个黑客盗号程序,与以往的网银盗号木马不同,该病毒在对抗安全软件方面下了些功夫,运行后会替换掉系统桌面文件explore.exe和beep.sys文件,替换后,用户获知系统异常的机会将被降低,从而让病毒能够躲避查杀。
李铁军分析指出,病毒进入系统后,可释放出四个病毒文件,分别是%WINDOWS%\system32\目录下的explore.exe、%Windows%目录下的ponto.DLL和1.exe以及%WINDOWS%\system32\drivers\目录下的beep.sys。然后修改注册表,把主文件1.exe加进启动项,实现开机自启动。并记录下用户通过IE浏览器上网时输入的类似银行帐号和密码的数据,然后悄悄连接病毒作者指定的地址http://www.silvana****.kit.net,将记录到的数据发送出去,导致用户网银帐号丢失。
近年来,在经济利益的驱动下,网银盗号木马数量增长迅猛。随着杀毒软件以及银行在木马查杀以及反盗号技术方面的增强,网银盗号病毒的制造者也在不断谋求“创新“,以“网银黑客盗号器61440”为代表,一些具有对抗杀毒软件功能的盗号程序不断涌现,给广大网银用户的资金安全带来了新的威胁。
据了解,本周内广大电脑用户除了需要警惕“网银黑客盗号器61440”(Win32.Hack.Agent.61440)之外,还需要特别警惕“还原卡破坏者73728”(Win32.TrojDownloader.Agent.73728)与“劫持者下载器397312”(win32.Troj.WeHit.397312)两大病毒。前者是一个木马下载者程序。该病毒运行后会修改系统文件、打开本地端口协议端口连接网络,然后下载病毒,并穿透电脑上安装的还原卡,运行病毒,对网吧等等场所的电脑破坏极大;后者同样是一个木马下载器程序。运行后会就破坏一些常见杀毒软件的正常运行,然后到指定地址下载其它木马等。它还会修改IE浏览器的默认页面,使得用户在启动IE时,会被引导到病毒作者指定的网站。
根据本周病毒传播特点,金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年7月7日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。
