“银行木马”为什么如此危险？

病毒编写者在不断开发新的盗取用户资金的方法，想办设法绕过现代的保护手段。最常见的攻击方式为：

• 非法访问银行远程服务系统；
• 使用恶意软件盗取机密信息；
• 盗取电子支付系统账户资金；
• 利用木马间谍拦截数据（包括用于用户身份验证的信息）；
• 使用木马加密软件损毁珍贵文件。

很多情况下，不法分子在成功的进行攻击后，会损毁电脑硬盘文件系统，以试图掩盖其犯罪踪迹。

最危险和最常见的银行威胁（依据2013年病毒库记录数量）：

• Trojan.Carberp — 13 400
• Trojan.PWS.Panda — 144 423
• Trojan.PWS.Ibank — 3 904
• Trojan.PWS.SpySweep — 14 514
• BackDoor.Termuser — 522
• Trojan.Hottrend — 2 677
• Trojan.Bayanker — 38
• Trojan.PWS.Turist — 781

不法分子在使用Microsoft Windows操作系统威胁时经常一起使用针对移动平台，尤其是安卓系统的木马软件。

下面简要介绍一下能给用户造成极大危害的银行木马。

Trojan.Carberp

此恶意软件的用途是从银行远程服务软件和交易平台盗取密码。有以下功能：

• 盗取银行远程服务系统和交易平台的访问密码；
• 执行远程命令中心发来的命令；
• 在被感染的电脑上设置代理服务器；
• 向不法分子发送被感染电脑上保存的文件；
• 对受害者电脑进行远程控制；
• 破坏操作系统。

具有绕过监控工具和关闭反病毒软件能力，并能够将被感染电脑组成僵尸网络。

Trojan.PWS.Ibank

此银行木马能够向不法分子发送受害者在浏览器或“银行客户端”软件中输入的信息。主要功能：

• 盗取并向不法分子转发用户输入的密码；
• 阻止访问反病毒公司网站；
• 执行远程命令服务器发来的命令；
• 在被感染电脑上设置代理服务器和VNC服务器；
• 执行破坏操作系统和磁盘引导区的指令。

Trojan.PWS.Panda

这一恶意软件还被称为Zeus和Zbot。主要功能是盗取用户密码，能够：

• 盗取“银行客户端”应用、FTP客户端和其他软件的密码；
• 执行远程命令中心发来的命令；
• 拦截用户在浏览器中输入的信息；
• 能够在被感染的系统中安装和删除数字证书，cookies文件；
• 更换浏览器主页；
• 阻止访问各种网站；
• 下载并运行各种应用程序；
• 删除被感染电脑硬盘上的文件。

Trojan.PWS.SpySweep

此木马的另一名称为SpyEye。有以下功能：

• 嵌入其他正在运行的进程；
• 在用户浏览的网页中附加内容；
• 执行远程命令中心发来的命令；
• 拦截用户在浏览器中输入的信息；
• 下载并运行各种应用程序；
• 删除被感染电脑硬盘上的文件。

BackDoor.Termuser

是一个恶意软件家族，向不法分子开放被感染电脑的访问权限。木马功能包括：

• 破坏反病毒软件运行，阻止反病毒软件启动；
• 能够执行控制服务器发来的命令；
• 通过在系统中注册管理员权限新用户，不法分子能够利用RDP协议（“远程桌面”）控制被感染的电脑。

Trojan.Hottrend

已知的最小的银行木马——可执行文件大小仅为20KB，也被称为Tinba (Tiny Banker)。主要功能：跟踪网络流量以拦截机密信息（包括银行信息），之后转发给不法分子。关键功能：

• 关闭系统还原功能；
• 阻碍反病毒软件运行；
• 插入到流量中，拦截机密信息并将其转发给不法分子。

Trojan.Bayanker

一种多组件恶意软件，能够盗取用户机密信息，包括银行远程服务系统登陆信息，通过电子支付系统盗取资金，破坏被感染电脑文件系统。能够执行不法分子发来的命令。

Trojan.PWS.Turist

一种用于盗取密码和其他机密信息，尤其是访问银行远程服务系统（包括使用智能卡验证机制）所需信息的木马软件。关键功能：

• 盗取电子银行服务系统访问密码；
• 在“银行客户端”系统窗口显示虚假信息（例如，显示虚假余额信息，以隐瞒从账户中盗取资金的事实）；
• 执行不法分子发来的命令；
• 破坏操作系统。

还有专门在谷歌安卓操作系统移动设备上运行的银行木马。第一款安卓银行木马被命名为Android.SpyEye.1, 出现于2011年。已经感染木马软件SpyEye的电脑用户最容易感染恶意软件Android.SpyEye.1。木马配置文件含有银行网站地址，在用户访问这些网站时，木马会在网页中嵌入可打开各种文本或网页的内容。受害者在台式机或笔记本浏览器中打开银行网页时，会看到银行推出了新的安全措施，不加载的话用户将无法访问“银行客户端”系统，并且建议在手机上下载应用程序，而实际上是诱惑用户下载木马软件。

在移动设备上下载和安装后，Android.SpyEye.1会拦截并向不法分子转发所有收到的短信。Android.SpyEye.1会将机密信息转发给病毒编写者，给移动设备用户带来危险。

现在的银行木马功能极其多样。

例如：Android.FakeSber.1.origin

这是一种针对的安卓移动平台的真正意义上的银行木马。意在拦截俄罗斯储蓄银行网银系统发送的短信内容。

木马能够拦截并向不法分子转发所有收到的短信，并将其在受害者电话中隐藏。木马安装在电脑被银行木马Trojan.Carberp感染的受害者手机中（受害者在试图通过web浏览器使用银行服务时，会收到Trojan.Carberp编造的必须通过手机号码进行验证的通知，要求在移动设备上安装专门的应用）。

银行木马怎样窃取信息？

恶意软件：

• 内置于与电子银行服务系统相关的进程中；
• 寻找电子银行服务软件在屏幕表格中的信息输入栏，并保存输入的信息；
• 嵌入流量中，以搜索特定字符串；
• 记录键盘录入；
• 在输入重要信息时进行截图；
• 拦截某些可能涉及重要信息传输的功能；
• 寻找并向不法分子发送数字证书和密钥。

银行木马怎样传播？

• 电子邮件群发；
• 应用软件漏洞；
• 通过被感染和被入侵的网站；
• 可移动信息载体；
• 可疑来源的未授权软件；
• 使用其他恶意软件安装。

攻击实例

1. 用户进入被不法分子入侵的网站。
2. 利用电脑软件漏洞下载并安装恶意软件。
3. 木马与远程服务器建立连接，向不法分子转发登陆电子银行服务系统所需的数字证书、用户名和密码。
4. 用户在浏览器中打开“银行客户端”系统网页时，木马在浏览器中显示需要在受害者手机上安装不法分子创建的应用程序（例如，以“安全证书”的名义）的通知。
5. 受害者在自己的电话或智能手机上安装恶意应用。
6. 不法分子输入用户名和密码登陆“银行客户端”系统。
7. 在手机上运行的木马拦截收到的确认操作验证码短信，并将其发送给不法分子。
8. 不法分子将受害者账户中的资金转至自己的账户。
9. 木马执行破坏电脑的命令，销毁作案痕迹。