网银系统中木马研究

网银系统中木马研究 科学技术与工程 网银系统中木马研究 1112 姜文超～王德广～王超,孙树艳 (1大连交通大学 辽宁 大连 116028; 2朝阳市第六中学 辽宁 朝阳 122000) 摘要:网络购物的方便、经济已被广大用户使用。但在使用网上银行系统时～木马病毒能窃取用户的网 上银行帐号、密码、数字证书～给购物者带来巨大的经济损失。本文主要了网上银行系统中客户端内 在的风险～阐明了木马病毒所带来的危害～并且列举了木马病毒盗取银行帐号、密码的常用～并提出 了控制木马激活方式的方法。 关键字:网上银行,木马 中图分类号: 文献标志码:A The Research of Trojan in Internet Banking 1112JIANG Wen-chao～WANG De-guang ,WANG Chao,SUN Shu-Yan (1DaLian JiaoTong University , Liaoning Dalian 116028 , China; (2ChaoYang The Sixth Middle School, Liaoning ChaoYang 122000 ,China) Abstract:The convenience of online shopping, the economy has been the majority of users. However, in the use of Internet banking system, the Trojan horse virus can steal the user's online bank account numbers, passwords, digital certificates, to bring to the enormous economic losses. This paper analyzes the e-banking system risks inherent in the client, explained the Trojan virus dangers brought about by, and listed a Trojan virus to steal bank account numbers, passwords commonly used methods, and ways to control the activation of the Trojan horse method. Keywords:Internet Banking; Trojan. 这一模式就给那些心怀不轨的计算机技术0 引言 高手有了可乘之击，他们可以通过技术手 目前，国内20多家银行开通网银服段把他人帐户里面的现金转帐到自己的帐 务，用户数超过3500万。2007年至今，户中，木马病毒就是一种非常有效的技术 网银用户的个人网络交易总额已经超过手段。由于木马病毒具有这样特点，网银 40万亿元。与此同时，网银盗窃案发率越客户遭受木马病毒攻击不可避免。 来越高，网络盗贼愈发“高明”， 其幕后1.2易受黑客攻击 主犯多是木马病毒，对网银系统中木马研黑客会在已被攻击用户上的网络上的 究是我们急需解决的问。 关键位置安插一些嗅探器(sniffer)从而 劫持一个会话，从中得到一方或双方的IP1 网银中客户端内在安全问题 地址，从而为其下一步的攻击提供了机会。 绝大多数威胁来自网上银行系统中的除了IP和MAC地址外，黑客还可以得到更 客户端本身。客户端本身所引起的安全问多的信息，诸如连接速度等。而Napster题，足以给用户带来巨大的经济损失。 就提供关于连接速度的信息，通过分析的 11.1易受木马病毒攻击 连接速度信息，攻击者可以得出哪些才是 网银的出现改变了银行柜台前资金交合意的目标，而不必在一些目标上浪费时 易的模式，在网银中就可以完成资金交易。间。因此这些信息的被劫持，将会给黑客 收稿日期: 作者简介: 姜文超(1979-)，男(汉族)，大连交通大学，硕士，主要研究领域网络安全。 王德广(1968,),男(汉族),大连交通大学,副教授，硕士生导师, 主要研究领域为信息安全、计算机取证; 王超(1974,)，女(汉族)，大连交通大学，讲师，主要研究领域网络安全。 孙树艳(1979-)，女女(汉族)，朝阳市第六中学，教师。 的攻击带来极大的便利。 已经被木马病毒成功攻击了，我们的研究 重点则在木马病毒活动方式。22 网银中木马病毒带来的危害3.1查找网银的支付窗口 “木马”全称是“特洛伊木马这种方式的特点是，当用户使用IE(TrojanHorse)”，原指古希腊士兵藏在木浏览器登陆银行网银系统进行网上交易马内进入敌方城市从而占领敌方城市的故时，病毒就会截取用户的支付卡号、接收事。在Internet上，“特洛伊木马”指一卡号、密码、收款人姓名、收款人所在地、些程序设计人员(或居心不良的人)在其可交易流水号、收款网点机构名、收款人所从网络上下载(Download)的应用程序或游在网点机构、总金额等全部的敏感信息，戏外挂、或网页中，包含了可以控制用户窃取用户财产。 的计算机系统或通过邮件盗取用户信息的比如说:“网银隐身劫匪”木马病毒，恶意程序，可能造成用户的系统被破坏、它是个针对工商银行网银的盗号木马，在信息丢失甚至令系统瘫痪。 运行后，会感染用户系统中IE浏览器的主 程序iexplore.exe，利用IE来截获用户 木马病毒一般以寻找后门、窃取密码 的网银信息。由于病毒体型小，以及病毒为主。统计表明，现在木马在病毒中所占 作者采取比较“节约空间”的感染方式，的比例已经超过了四分之一，而在近年涌 受到感染后的iexplore.exe程序大小不起的病毒潮中，木马类病毒占绝对优势， 会变生改变。但当用户使用IE浏览器登陆并将在未来的若干年内愈演愈烈。木马是 工商银行网银系统进行网上交易时，病毒一类特殊的病毒，如果不小心把它当成一就会将截取众多信息。包括用户的支付卡个软件来使用，该木马就会被“种”到电号、接收卡号、密码、收款人姓名、收款脑上，以后上网时，电脑控制权就完全交人所在地、交易流水号、收款网点机构名、给了“黑客”，他便能通过跟踪击键输入收款人所在网点机构、总金额等全部的敏等方式，窃取密码、信用卡号码等机密资感信息都会被该木马记录下来。获取到帐料，而且还可以对电脑进行跟踪监视、控号信息后，木马就悄悄连接病毒作者指定制、查看、修改资料等操作。 的一个远程服务器，让病毒作者(木马种植 3者)掌握用户的银行帐号、密码，甚至个人3 网银中木马病毒的活动方式 隐私，给用户造成无法估计的重大损失。 针对网银的木马是针对网上银行交易3.2 通过网银的安全控件来盗取用户网 4系统编写的木马病毒，其目的是获取用户银帐号和密码 的网银的信息，如卡号，交易密码等。针多数网银交易都是通过网页浏览器完对网银的木马种类数量要少于网游木马，成的，嵌入浏览器进程中的恶意代码能够 获取用户当前访问的页面地址和页面内但它的针对性更强，编写更加专业，给用 容，还能够在用户数据以 SSL 安全加密方户造成的危害更加直接，被盗用户的损失 式发送出去之前获取它们。利用这种技术也更大。 的木马，通常会动态改变用户正在浏览的 随着我国电子商务的发展和网银的普 页面内容，比如增加一段用以获得帐号密及，这类木马也越来越多。网银木马活动 1码然后发送出去的 javascript 脚本，或方式主要分为三种:一、通过查找网银 者让浏览器自动打开另外一个恶意的网的支付窗口，然后记录键盘操作来盗取账页。使用网页脚本制作的虚拟键盘，在对号和密码。二、通过网银的安全控件来盗付这类木马时会完全失效。 取用户网银帐号和密码。三、劫持本地网比如说:“网银大盗”木马银页面到伪造网银的支付页面，然后盗取( Trojan/PSW.HidWebMon )就利用了这用户帐号和密码。 种技术，它监测到用户正在访问某个引用我们假定用户开通了网上银行，并且 了安全登录控件的地址时，就会让浏览器“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”， 自动跳转到另外一个网页。后者看上去和这样当你双击一个TXT文件，原本应用正常登录页面没什么两样，只是没有任何Notepad打开该文件的，现在却变成启动安全登录控件的保护。 木马程序了。不仅仅是TXT文件，其他诸3.3 劫持本地网银页面到伪造网银的支如HTM、EXE、ZIP、COM等都是木马的目标。 5付页面，然后盗取用户帐号和密码。 对付这类木马，只能经常检查 它会监视受感染计算机系统中IE浏HKEY_CLASSES_ROOT文件类型览器正在访问的网页，如果发现用户正在shellopencommand主键，查看其键值是否登录某银行个人网上银行页面，就会弹出正常。 伪造的登录对话框，诱骗用户输入登录密4.3捆绑文件 码和支付密码，通过邮件将窃取到的信息实现这种触发条件首先要控制端和服发送出去。 务端已通过木马建立连接，然后控制端用 例如，网银木马 TrojSpy_Banker.ZQ，户用工具软件将木马文件和某一应用程序它是网银木马TrojSpy_Banker.YY的新变捆绑在一起，上传到服务端覆盖原文件，种。 这样即使木马被删除了，只要运行捆绑了 木马的应用程序，木马又会被安装上去了。4 减轻网银木马带来的危害 绑定到某一应用程序中，如绑定到系统文 木马，它是一种基于远程控制的黑客件，那么每一次Windows启动均会启动木工具，具有很强的隐蔽性和危害性。为了马。 达到控制服务端主机的目的，木马往往要4.3.1在System.ini中启动 采用各种手段达到激活自己、加载运行的System.ini位于Windows的安装目录目的。对于木马病毒的防治，我们要尽可下，其[boot]字段的shell=Explorer.exe能的减少感染木马病毒的机会，然而对于是木马喜欢的隐蔽加载之所，木马通常的感染了木马病毒，我们要是控制了木马的做法是将该句变为这样: 6激活方式就能很好减轻网银中木马带来shell=Explorer.exe file.exe，注意这的危害。 里的file.exe就是木马服务端程序～ 74.1 在Win.ini中启动 4.3.2修改System.ini中的[386Enh] 在Win.ini的[windows]字段中有启另外，在System.ini中的[386Enh]动命令“load=”和“run=”，在一般情况字段，要注意检查在此段内的“driver=下“=”后面是空白的，如果后面跟着程序，路径程序名”，这里也有可能被木马所利比如: 用。 run=c:windows file.exe 4.3.3修改System.ini中的驱动 load=c:windows file.exe 再有，在System.ini中的[mic]、这个file.exe很可能就是木马程序～ [drivers]、[drivers32]这三个字段，它4.2修改文件关联 们起到加载驱动程序的作用，但也是添加 修改文件关联是木马们常用手段，比木马程序的好场所。 方说:正常情况下TXT文件的打开方式为4.4利用注册表加载运行 Notepad.exe文件，但一旦中了文件关联如下所示的注册表位置都是木马喜好木马，则TXT文件打开方式就会被修改为的藏身之处，检查一下，有什么程序在其用木马程序打开，如著名的国产木马冰河。下: “冰河”就是通过修改HKEY_LOCAL_MACHINESoftwareMicrosoftW HKEY_CLASSES_ROOT indowsCurrentVersion下所有以“run”xtfileshellopencommand下的键值，将开头的键值; “C:WINDOWSNOTEPAD.EXE %1”改为HKEY_CURRENT_USERSoftwareMicrosoftWi ndowsCurrentVersion下所有以“run”开这类木马仍然要在注册表中建立键值，因头的键值; 此只要留意注册表的变化就不难查到它HKEY_USERS.DefaultSoftware 们。 MicrosoftWindowsCurrentVersion下所 有以“run”开头的键值。 己，达到其不可告人的目的。但是，只要4.5在Autoexec.bat和Config.sys中加我们能很好的控制其激活、加载方式，还 8载运行 是能够防范的。 在C盘根目录下的这两个文件也可以5 结束语 启动木马。但这种加载方式一般都需要控 制端用户与服务端建立连接后，将已添加目前，对木马病毒的研究已经达到一木马启动命令的同名文件上传到服务端覆定阶段，我们可以采取使用正版杀毒软件，盖这两个文件才行，而且采用这种方式不及时更新病毒库、关闭本机中不用的端口、是很隐蔽，容易被发现。所以在删除系统中无用的帐号、检查系统目录中Autoexec.bat和Config.sys中加载木马文件、检查与启动相关的文件等方法有效程序的并不多见，但也不能因此而掉以轻的防范木马病毒。正因为电子商务逐渐的心。 被人们所接受，并广泛的使用，网银系统4.6 在Winstart.bat中启动 中的木马病毒会不断的出现新的变异，对 Winstart.bat是一个特殊性丝毫不网银系统中的木马研究会进入一个全新的亚于Autoexec.bat的批处理文件，它也是发展时期。 一个能自动被Windows加载运行的文件。参考文献 它多数情况下为应用程序及Windows自动1葛鸣铭.网银木马剖析及防范[J] 中国信用卡, 生成，在执行了Win.com并加载了多数驱 2007,(01):52-54 动程序之后开始执行(这一点可通过启动 时按[F8]键再选择逐步跟踪启动过程的启2图雅. 网上银行防盗技巧[J] 内蒙古科技与动方式得知)。由于Autoexec.bat的功能经济, 2008,(02):20-22 可以由Winstart.bat代替完成，因此木马3刘灵犀. 探析网络钓鱼的几种新形式[J] 完全可以像在Autoexec.bat中那样被加 中国科技信息, 2009,(05):134-136 载运行。 34贾建忠,姜锐. 新型木马技术剖析及发展预测4.7“反弹端口”型木马的主动连接方式 与一般的木马相反，“反弹端口”型木[J]网络安全技术与应用, 2007,(05):43-45 马的服务端(被控制端)使用主动端口，客3冯雁,赵鲲,刘芳. ICMP反弹式木马技术的研究户端(控制端)使用被动端口，当要建立连与实现[J]北京电子科技学院学报, 2008,(02):接时，由客户端通过FTP主页空间告诉服5-7 务端:“现在开始连接我吧～”，并进入监听5王小平. 威胁网上银行安全的五种陷阱[J] 华状态，服务端收到通知后，就会开始连接南金融电脑,2007,(11):18-19 客户端。为了隐蔽起见，客户端的监听端6吴小博.木马的实现原理、分类和实例分析[J] 口一般开在80，这样，即使用户使用端口网络安全技术与应用, 2007,(10):55-56 扫描软件检查自己的端口，发现的也是类7廖年旺. 一步一步教你排除计算机的启动故障似“TCP 服务端的IP地址:1026，客户端[J] 电脑技术, 2007,(10):64-66 的IP地址:80 ESTABLISHED”的情况，稍8屈蕴茜,陆建德. “木马”病毒的分析、检测与微疏忽一点你就会以为是自己在浏览网防治[J]苏州大学学报(工学版), 2002,(01):页。防火墙也会如此认为，大概没有哪个43-48 防火墙会不给用户向外连接80端口吧。这 类木马的典型代表就是“网络神偷”。由于