对抗杀毒软件新型“网银盗号”病毒现身

来源：赛迪网作者：佚名出处：巧巧读书 2008-07-09 进入讨论组

金山毒霸全球反病毒监测中心发布周（7.7-7.13）病毒预警，本周内一个新型的网银盗号病毒 “网银黑客盗号器61440”将严重威胁网银用户的账户安全。

安全专家表示，“网银黑客盗号器61440” 是一个黑客盗号程序，与以往的网银盗号木马不同，该病毒在对抗安全软件方面下了些功夫，运行后会替换掉系统桌面文件explore.exe和beep.sys文件，替换后，用户获知系统异常的机会将被降低，从而让病毒能够躲避查杀。

安全专家分析指出，病毒进入系统后，可释放出四个病毒文件，分别是

%WINDOWS%\system32\目录下的explore.exe
%Windows%目录下的ponto.DLL
%Windows%目录下的1.exe
%WINDOWS%\system32\drivers\目录下的beep.sys

然后修改注册表，把主文件1.exe加进启动项，实现开机自启动。并记录下用户通过IE浏览器上网时输入的类似银行账号和密码的数据，然后连接病毒作者指定地址http://www.silvana****.kit.net，将记录到的数据发送出去，导致用户网银账号丢失。

近年来，在经济利益的驱动下，网银盗号木马数量增长迅猛。随着杀毒软件以及银行在木马查杀以及反盗号技术方面的增强，网银盗号病毒的制造者也在不断谋求“创新“，以“网银黑客盗号器61440”为代表，一些具有对抗杀毒软件功能的盗号程序不断涌现，给广大网银用户的资金安全带来了新的威胁。

据了解，本周内广大电脑用户除了需要警惕“网银黑客盗号器61440”（Win32.Hack.Agent.61440）之外，还需要特别警惕“还原卡破坏者73728”（Win32.TrojDownloader.Agent.73728）与“劫持者下载器397312”（win32.Troj.WeHit.397312）两大病毒。前者是一个木马下载者程序。该病毒运行后会修改系统文件、打开本地端口协议端口连接网络，然后下载病毒，并穿透电脑上安装的还原卡，运行病毒，对网吧等等场所的电脑破坏极大；后者同样是一个木马下载器程序。运行后会就破坏一些常见杀毒软件的正常运行，然后到指定地址下载其它木马等。它还会修改IE浏览器的默认页面，使得用户在启动IE时，会被引导到病毒作者指定的网站。