网银木马的常用技术

虚假网站和服务器攻击

   黑客首先建立一个酷似网络银行官方网站的假网页，该网页诱骗用户输入帐号密码等信息，或者包含用于种植木马的恶意脚本。然后给假网页申请一个酷似官方网址的域名，等待用户由于拼写错误而连接进来；有时黑客也会花几十元购买一个包含几百万邮箱地址的数据库，然后向这些邮箱发送“钓鱼”（phishing）邮件。邮件内容通常包含煞有其事的文字，引诱用户访问假网页。无论哪种欺骗方式，一旦用户上当受骗，他们的隐私数据都会被发送到黑客那里。

   “证券大盗”（Trojan/PSW.Soufan）的作者就是为他的网页申请了与某知名证券咨询网站类似的域名，并且编写了利用IE浏览器漏洞的恶意脚本，成功的让他的木马感染了大量用户。

    有时黑客还会对金融网站服务器直接发起攻击。虽然这种攻击成功的机会不大，但2006年8月，国内某知名证券业网站还是被黑客入侵，该网站上提供下载的所有证券交易客户端软件都被捆绑上了网银木马。

键盘记录

   记录用户的键盘输入是网银木马最常用的手段之一。这类木马一般会监视用户正在操作的窗口，如果发现用户正在访问某网银系统的登录页面，就开始记录所有从键盘输入的内容。这种方法很通用也很简单，用于获取网银或者在线游戏的帐号密码时，效果一直很好。

   2004年11月的“网银大盗Ⅱ”木马，是一个典型的例子，它把几乎所有的国内网银系统都列为盗窃的目标。在测试中，只有少数提供虚拟键盘技术的登录系统可以避开它。

嵌入浏览器执行

   多数网银交易都是通过网页浏览器完成的，嵌入浏览器进程中的恶意代码能够获取用户当前访问的页面地址和页面内容，还能够在用户数据以SSL安全加密方式发送出去之前获取它们。利用这种技术的木马，通常会动态改变用户正在浏览的页面内容，比如增加一段用以获得帐号密码然后发送出去的javascript脚本，或者让浏览器自动打开另外一个恶意的网页。使用网页脚本制作的虚拟键盘，在对付这类木马时会完全失效。

    “网银大盗”木马（Trojan/PSW.HidWebMon）就利用了这种技术，它监测到用户正在访问某个引用了安全登录控件的地址时，就会让浏览器自动跳转到另外一个网页。后者看上去和正常登录页面没什么两样，只是没有任何安全登录控件的保护。

    对于那些只对交易对话进行验证，而没有对交易过程进行验证的系统，嵌入浏览器的恶意代码甚至可以完全控制一次交易。这样的交易系统只对用户身份进行验证，而在用户身份确定之后无条件的执行任何来自用户的指令。木马可以等到用户验证通过后再开始工作，拦截用户的转账操作，篡改数据后发送给服务器，服务器没有办法区分给它发出转账指令的是用户还是木马，直接执行了转账，木马再把服务器返回的信息篡改后显示给用户。目前，这种技术只在国外的一些网银木马上看到，国内尚未发现这样的例子。