网银系统中木马研究

科　学　技　术　与　工　程

Science Technol ogy and Engineering

　Vol 19　No 120　Oct .2009

Ζ　2009　Sci 1Tech 1Engng 1

网银系统中木马研究

姜文超　王德广　王　超　孙树艳

1

(大连交通大学大连116028;朝阳市第六中学1朝阳122000)

摘　要　网络购物的方便、经济已被广大用户使用。但在使用网上银行系统时,木马病毒能窃取用户的网上银行帐号、密码、数字证书,给购物者带来巨大的经济损失。本文主要分析了网上银行系统中客户端内在的风险,阐明了木马病毒所带来的危害,并且列举了木马病毒盗取银行帐号、密码的常用方法,并提出了控制木马激活方式的方法。关键词　网上银行　　木马　　网络购物中图法分类号　F830.4;　　　　文献标志码　

A

2009年7月1日收到

第一作者简介:姜文超(1979—),男,汉族,硕士,研究方向:网络安全。

　　目前,国内20多家银行开通网银服务,用户数超过3500万。2007年至今,网银用户的个人网络交易总额已经超过40万亿元。与此同时,网银盗窃案发率越来越高,网络盗贼愈发“高明”,其幕后主犯多是木马病毒,对网银系统中木马研究是我们急需解决的问题。

1　网银中客户端内在安全问题

绝大多数威胁来自网上银行系统中的客户端本身。客户端本身所引起的安全问题,足以给用户带来巨大的经济损失。1.1　易受木马病毒攻击

[1]

网银的出现改变了银行柜台前资金交易的模式,在网银中就可以完成资金交易。这一模式就给那些心怀不轨的计算机技术高手有了可乘之击,他们可以通过技术手段把他人帐户里面的现金转帐到自己的帐户中,木马病毒就是一种非常有效的技术手段。由于木马病毒具有这样特点,网银客户遭受木马病毒攻击不可避免。1.2　易受黑客攻击

黑客会在已被攻击用户上的网络上的关键位

置安插一些嗅探器(sniffer )从而劫持一个会话,从中得到一方或双方的I P 地址,从而为其下一步的攻击提供了机会。除了I P 和MAC 地址外,黑客还可以得到更多的信息,诸如连接速度等。而Nap ster 就提供关于连接速度的信息,通过分析的连接速度信息,攻击者可以得出哪些才是合意的目标,而不必在一些目标上浪费时间。因此这些信息的被劫持,将会给黑客的攻击带来极大的便利。

2　网银中木马病毒带来的危害

[2]

“木马”全称是“特洛伊木马(Tr ojanHorse )”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在I nternet 上,“特洛伊木马”指一些程序设计人员(或居心不良的人)在其可从网络上下载(Downl oad )的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

木马病毒一般以寻找后门、窃取密码为主。统计表明,现在木马在病毒中所占的比例已经超过了四分之一,而在近年涌起的病毒潮中,木马类病毒占绝对优势,并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒,如果不小心把它当成一个软件来使用,该木马就会被“种”到电脑上,以后上网

3　网银中木马病毒的活动方式[3]

针对网银的木马是针对网上银行交易系统编写的木马病毒,其目的是获取用户的网银信息,如卡号,交易密码等。针对网银的木马种类数量要少于网游木马,但它的针对性更强,编写更加专业,给用户造成的危害更加直接,被盗用户的损失也更大。

随着我国电子商务的发展和网银的普及,这类木马也越来越多。网银木马活动方式主要分为三种:一、通过查找网银的支付窗口,然后记录键盘操作来盗取账号和密码。二、通过网银的安全控件来盗取用户网银帐号和密码。三、劫持本地网银页面到伪造网银的支付页面,然后盗取用户帐号和密码。

我们假定用户开通了网上银行,并且已经被木马病毒成功攻击了,我们的研究重点则在木马病毒活动方式。

3.1　查找网银的支付窗口

这种方式的特点是,当用户使用I E浏览器登陆银行网银系统进行网上交易时,病毒就会截取用户的支付卡号、接收卡号、密码、收款人姓名、收款人所在地、交易流水号、收款网点机构名、收款人所在网点机构、总金额等全部的敏感信息,窃取用户财产。

比如说:“网银隐身劫匪”木马病毒,它是个针对工商银行网银的盗号木马,在运行后,会感染用户系统中I E浏览器的主程序iexp l ore.exe,利用I E 来截获用户的网银信息。由于病毒体型小,以及病毒作者采取比较“节约空间”的感染方式,受到感染后的iexp l ore.exe程序大小不会变生改变。但当用户使用I E浏览器登陆工商银行网银系统进行网上交易时,病毒就会截取众多信息。包括用户的支付卡号、接收卡号、密码、收款人姓名、收款人所在地、交易流水号、收款网点机构名、收款人所在网点机构、总金额等全部的敏感信息都会被该木马记录下来。获取到帐号信息后,木马就悄悄连接病毒作者指定的一个远程服务器,让病毒作者(木马种植者)掌握用户的银行帐号、密码,甚至个人隐私,给用户造成无法估计的重大损失。

3.2　通过网银的安全控件来盗取用户网银帐号和

密码[4]

　　多数网银交易都是通过网页浏览器完成的,嵌入浏览器进程中的恶意代码能够获取用户当前访问的页面地址和页面内容,还能够在用户数据以SS L安全加密方式发送出去之前获取它们。利用这种技术的木马,通常会动态改变用户正在浏览的页面内容,比如增加一段用以获得帐号密码然后发送出去的javascri p t脚本,或者让浏览器自动打开另外一个恶意的网页。使用网页脚本制作的虚拟键盘,在对付这类木马时会完全失效。

比如说:“网银大盗”木马(Tr ojan/PS W.H id2 W eb Mon)就利用了这种技术,它监测到用户正在访问某个引用了安全登录控件的地址时,就会让浏览器自动跳转到另外一个网页。后者看上去和正常登录页面没什么两样,只是没有任何安全登录控件的保护。

3.3　劫持本地网银页面到伪造网银的支付页面,然

后盗取用户帐号和密码[5]

　　它会监视受感染计算机系统中I E浏览器正在访问的网页,如果发现用户正在登录某银行个人网上银行页面,就会弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,通过邮件将窃取到的信息发送出去。

例如,网银木马Tr ojSpy_Banker.Z Q,它是网银木马Tr ojSpy_Banker.YY的新变种。

4　减轻网银木马带来的危害

木马,它是一种基于远程控制的黑客工具,具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己、加载运行的目的。对于木马病毒的防治,我们

4626科　学　技　术　与　工　程9卷要尽可能的减少感染木马病毒的机会,然而对于感染了木马病毒,我们要是控制了木马的激活方式[6]就能很好减轻网银中木马带来的危害。

4.1　在W i n.i n i中启动[7]

在W in.ini的[windows]字段中有启动命令“l oad=”和“run=”,在一般情况下“=”后面是空白的,如果后面跟着程序,比如:

run=c:windows file.exe

l oad=c:windows file.exe

这个file.exe很可能就是木马程序!

4.2　修改文件关联

修改文件关联是木马们常用手段,比方说:正常情况下T XT文件的打开方式为Notepad.exe文件,但一旦中了文件关联木马,则TXT文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河。“冰河”就是通过修改HKEY_CLASSES_ ROOT xtfileshell opencommand下的键值,将“C:W I N2 DOW S NOTEP AD.EXE%1”改为“C:W I N DOW SSYS2 TE MSYSEXP LR.EXE%1”,这样当你双击一个TXT 文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了。不仅仅是T XT文件,其他诸如HT M、EXE、ZI P、COM等都是木马的目标。对付这类木马,只能经常检查HKEY_CLASSES_ROOT文件类型shell opencommand主键,查看其键值是否正常。

4.3　捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次W indows启动均会启动木马。

4.3.1　在Syste m.ini中启动

Syste m.ini位于W indows的安装目录下,其[boot]字段的shell=Exp l orer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样: shell=Exp l orer.exe　file.exe,注意这里的file.exe 就是木马服务端程序!4.3.2　修改Syste m.ini中的[386Enh]

另外,在Syste m.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径程序名”,这里也有可能被木马所利用。

4.3.3　修改Syste m.ini中的驱动

再有,在Syste m.ini中的[m ic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所。

4.4　利用注册表加载运行

如下所示的注册表位置都是木马喜好的藏身之处,检查一下,有什么程序在其下:

HKEY_LOCAL_MACH I N ESoft w are M icr os oft W in2 dows Current V ersi on下所有以“run”开头的键值;

HKEY_CURRE NT_USERSoft w are M icr os oft W in2 dows Current V ersi on下所有以“run”开头的键值;

HKEY_USERS.DefaultSoft w are

M icr os oft W indows Current V ersi on下所有以“run”开头的键值。

4.5　在Autoexec.ba t和Conf i g.sys中加载运行[8]

　　在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,容易被发现。所以在Aut oexec. bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。

4.6　在W i n st art.ba t中启动

W instart.bat是一个特殊性丝毫不亚于Aut oex2 ec.bat的批处理文件,它也是一个能自动被W in2 dows加载运行的文件。它多数情况下为应用程序及W indows自动生成,在执行了W in.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按[F8]键再选择逐步跟踪启动过程的启动方式得知)。由于Aut oexec.bat的功能可以由W instart.bat 代替完成,因此木马完全可以像在Aut oexec.bat中那样被加载运行。

4.7　“反弹端口”型木马的主动连接方式

与一般的木马相反,“反弹端口”型木马的服务

5626

20期姜文超,等:网银系统中木马研究　端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP服务端的I P地址:1026,客户端的I P地址:80EST ABL I SHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,大概没有哪个防火墙会不给用户向外连接80端口吧。这类木马的典型代表就是“网络神偷”。由于这类木马仍然要在注册表中建立键值,因此只要留意注册表的变化就不难查到它们。

尽管木马很狡猾,善于伪装和隐藏自己,达到其不可告人的目的。但是,只要我们能很好的控制其激活、加载方式,还是能够防范的。

5　结束语

目前,对木马病毒的研究已经达到一定阶段,我们可以采取使用正版杀毒软件,及时更新病毒库、关闭本机中不用的端口、删除系统中无用的帐号、检查系统目录中文件、检查与启动相关的文件等方法有效的防范木马病毒。正因为电子商务逐渐的被人们所接受,并广泛的使用,网银系统中的木马病毒会不断的出现新的变异,对网银系统中的木马研究会进入一个全新的发展时期。

参　考　文　献

1　葛鸣铭.网银木马剖析及防范.中国信用卡,2007;(01):52—54 2　图　雅.网上银行防盗技巧.内蒙古科技与经济,2008;(02): 20—22

3　刘灵犀.探析网络钓鱼的几种新形式.中国科技信息,2009;

(05):134—136

4　贾建忠,姜　锐.新型木马技术剖析及发展预测.网络安全技术与应用,2007;(05):43—45

4　王小平.威胁网上银行安全的五种陷阱.华南金融电脑,2007;

(11):18—19

5　吴小博.木马的实现原理、分类和实例分析.网络安全技术与应用,2007;(10):55—56

6　廖年旺.一步一步教你排除计算机的启动故障.电脑技术, 2007;(10):—66

7　屈蕴茜,陆建德.“木马”病毒的分析、检测与防治.苏州大学学报(工学版),2002;(01):43—48

Research of Troj an i n I n ternet Bank i n g

J I A NG W en2chao,WANG De2guang,WANG Chao,S UN Shu2Yan1

(DaL ian J iaot ong University,Dalian116028,P.R.China;Chaoyang the Sixth M iddle School1,ChaoYang122000,P.R.China)

[Abstract]　The convenience of online shopp ing,the economy has been the maj ority of users.However,in the use of internet banking syste m,the Tr ojan horse virus can steal the userπs online bank account nu mbers,pass2 words,digital certificates,t o bring t o the enor mous econom ic l osses.This paper analyzes the e2banking syste m risks inherent in the client,exp lained the Tr ojan virus dangers br ought about by,and listed a Tr ojan virus t o steal bank account nu mbers,pass words commonly used methods,and ways t o contr ol the activati on of the Tr ojan horse method.

[Key words]　internet banking　　Tr ojan　　online shopp ing

6626科　学　技　术　与　工　程9卷