9月17日,深圳华为一名员工朱先生将工资转入余额宝时,遭遇网银劫持木马,七千多元工资不翼而飞,目前,朱先生已报警,并通过微博私信电脑管家寻求帮助。经腾讯电脑管家连夜联合侦查,对该木马传播途径和做案手法已经查清。
据警方通报,该木马是网银大盗木马最新变种“弼马温”,通过视频站点进行广泛传播,并通过云端数据自动更新配置获利账号,可以在用户毫无感知情况下对用户网银支付或充值行为进行劫持。现已感染至少50万用户电脑,为史上最凶的网银大盗木马,在此,警方特别提醒广大网民注意防范。目前管家已经可以查杀防御该病毒。
“弼马温”网银木马作案手法解析
腾讯电脑管家安全实验室反病毒工程师朱科锭介绍,“弼马温”木马能够毫无痕迹的修改支付界面,使用户根本无法察觉。“弼马温”通过不良网站提供假QVOD下载地址传播,当用户下载这一挂马播放器文件安装后就会中木马,该木马运行后即开始监视用户网络交易,屏蔽余额支付和快捷支付,强制用户使用网银,并借机篡改订单,盗取财产。
从演示视频中可以看到,木马实时监控用户网银的交易过程,当发现有交易发生的时候,会将用户的快捷支付给屏蔽掉,让用户只能使用网银进行交易。当用户在网银进行最终确认的时候,可以看到用户的交易金额为1元,但是实际需要支付金额却是木马设置的最低限额900元。如果点击确定,那么这900块钱便会乖乖的输入木马作者的账户中了。
木马获利分析:已形成黑色产业链
此前网络上也出现过网银劫持木马,但基本上都是通过点对点进行传播和扩散,影响相对较小。此次“弼马温”网银大盗最大的特点是通过视频点进行云传播,伪装在播放器中,当用户下载安装播放器之后木马也随之启动并在用户电脑上常驻。并且传播该木马的视频站点不止一个,是一个有规模的传播联盟,可以在短时间内对木马进行大范围的传播,达到最大的危害,并形成了一条获利的黑色产业链。
在这条黑色产业链中木马的制作团队和木马的买家成为核心角色,制作团队会负责木马的持续更新和与安全软件的对抗,并根据买家需求进行功能调整。买家购买木马之后需要找到量商,也就是有传播渠道的人付费进行木马的推广,并按照推广量计费。被盗取的钱会被直接冲到木马买家指定的充值平台上,盛大、银联、安付宝、支付宝等网银平台均在此木马攻击范围内。
木马可以通过云端控制,直接指定自己的获利账号及对应平台。盗取成功之后木马买家会收到通知并登陆相应账号对盗取的钱进行消费,他们会选择游戏点卡平台进行消费,因为这是一个洗钱的好渠道,盗取的钱可以在这类平台中快速的完成钱--点卡--钱的转换,当然点卡购买平台会在这个过程中收取手续费,最终这笔钱回到了木马买家的银行卡上,并且因为中间有游戏点卡作为中转中介,使得对这笔钱的追查非常困难,点卡平台也就在客观上充当了一个洗钱工具的作用。
根据统计,目前已感染“弼马温”的网民有50万,是历史上感染量最大的网银木马。如果按照2%感染用户且使用网银来计算的话,那么每感染100个用户预计造成至少1800元的损失,按照全国50万的感染人数进行统计则预计网民损失接近千万。
全国范围感染,已致50万网民感染
(“网银大盗”全国感染分布(由腾讯电脑管家监测提供))
根据腾讯电脑管家监测中心数据,全国广东、北京是本次木马感染最严重的地区,其次为江苏,浙江,上海,山东,湖南等地区,西部地区感染量比较低,全国所有地区都有拦截记录。第一个感染的用户来自于上海地区。
腾讯电脑管家安全专家邵付东介绍,“网银大盗”木马能够在用户无感知情况下篡改支付界面,大大提高劫持成功几率。根据统计,目前已感染“网银大盗”的网民或已超过50万,是历史上感染量最大的网银木马。目前腾讯电脑管家已经可以查杀防御该木马。
(推广)