编者按：近半年来，随着股票、基金的火爆，银证通等各种网上银行交易工具使用越来越多。然而，你可知道，网络银行和各种网上支付平台一直都是黑客和病毒作者们非常感兴趣的对象。作为个人或者企业的你，应当如何规避风险？

     【IT168 专稿】自从上世纪90年代，中国各大银行纷纷推出网络银行服务以来，网银交易这个新兴的金融业务形式，以其高效、灵活、低成本、全天候的便捷服务，迅速聚集了大量用户，并且还在吸引着更多未来用户。网络技术给网银服务带来了传统银行业务无法媲美的优越性，同时也带来了一个对用户对银行都非常重要的课题——网银交易的安全性问题。

　　因此，网络银行和各种网上支付平台一直都是黑客和病毒作者们非常感兴趣的对象。随着近年来中国网银用户数量的突飞猛进，越来越多的中国黑客开始针对国内各种在线金融业务发动攻击或编写木马。

　　2004年4月，“网银大盗”（Trojan/PSW.HidWebMon）的作者和传播者，利用木马窃取的帐号密码，登录网上银行，提取了4.8万元现金。

　　2004年末，“证券大盗”（Trojan/PSW.Soufan）的作者利用窃取的股民帐号、密码，盗买、盗卖股票价值1141.9万元，非法获利38.6万元，给受害股民造成了巨大损失。

　　2005年7月，“新网银大盗”（Trojan/PSW.VShell.a）的作者以7000元的价格把木马卖给了一个16岁的在校中专生。后者又买通其他黑客，把木马种植到某知名门户网站上，成功盗取了数百个网银帐号，非法获利62500元。

　　上述这些是近年来中国公安机关破获的网络犯罪实例，说明有些网上交易平台存在着一些漏洞，网银木马有时的确能够抓住这些漏洞，为其作案者带来不法收益。

中国个人用户网上交易的几种形式

1、“帐号 + 密码”登录形式

    用户具备银行帐号和密码，在连网的电脑上通过输入正确的帐号、密码登录网银系统，进行网银交易。这种完成交易的形式可以很方便的在网页浏览器中实现，但缺点也很明显。黑客一旦获取了用户的帐号密码，就可以通过银行帐户转账、网上支付转账等方式窃取资金。即使是虚拟键盘和“一次一密”技术，在有些老练的木马面前，也会失去作用。

    目前，由于这种登录方式的便捷特点，仍然拥有大量网银用户，它也是国内网银木马病毒攻击的主要目标。

2、“证书文件 + 密码”登录形式

    用户申请并下载数字证书，数字证书可以保存成磁盘文件，用户通过提供证书和密码来登录系统。在交易过程中，用户向银行服务器提交的数据都经过证书加密。与“帐号 + 密码”登录形式相比，数字证书文件的安全性大大增强，不足之处在于易用性下降，通常需要安装专门的客户端软件，证书文件携带不便。

    由于数字证书可以保存为文件，木马仍然有机会复制证书、记录密码，造成用户帐号被盗。

3、“USB Key + 密码”登录形式

    USB Key与证书文件相比，安全性更进一步。其不可观察、不可复制的特点使得木马无法仿造USB Key，目前还没有发现能够复制USB Key的网银木马。这种登录形式的不足仍在于易用性方面，而且成本较高。

　　在现阶段，采用前两种登录形式进行网上交易的用户，是网银木马盗窃的对象。这样的用户大量存在，而且在今后一段时间内，可能还会越来越多。这是客观的情况，为了保护广大网银用户的利益，需要桌面安全产品对网银木马的监控和查杀。

中国网银木马发展现状和趋势

木马数量和感染数量增加

　　2004年4月，江民公司反病毒中心截获了国内第一只网银木马——“网银大盗”（Trojan/PSW.HidWebMon）。两年半过去了，根据江民公司病毒预警系统的数据，我们得出了下面的统计结果：

图1

受感染用户群快速增长

    被网银木马感染的国内计算机数量，2004年只有大约60台，2005年约为1100台，2006年前10个月，已经有超过37000台电脑感染过网银木马。（如图2，这些数据仅仅是从安装了江民反病毒软件的计算机中统计出来的，实际数字可能还要多几倍，但数字之间的比例应该不会有太大变化）3年的时间内，被网银木马感染的国内用户数量增长了600倍。

图2

网银木马的常用技术

虚假网站和服务器攻击

   黑客首先建立一个酷似网络银行官方网站的假网页，该网页诱骗用户输入帐号密码等信息，或者包含用于种植木马的恶意脚本。然后给假网页申请一个酷似官方网址的域名，等待用户由于拼写错误而连接进来；有时黑客也会花几十元购买一个包含几百万邮箱地址的数据库，然后向这些邮箱发送“钓鱼”（phishing）邮件。邮件内容通常包含煞有其事的文字，引诱用户访问假网页。无论哪种欺骗方式，一旦用户上当受骗，他们的隐私数据都会被发送到黑客那里。

   “证券大盗”（Trojan/PSW.Soufan）的作者就是为他的网页申请了与某知名证券咨询网站类似的域名，并且编写了利用IE浏览器漏洞的恶意脚本，成功的让他的木马感染了大量用户。

    有时黑客还会对金融网站服务器直接发起攻击。虽然这种攻击成功的机会不大，但2006年8月，国内某知名证券业网站还是被黑客入侵，该网站上提供下载的所有证券交易客户端软件都被捆绑上了网银木马。

键盘记录

   记录用户的键盘输入是网银木马最常用的手段之一。这类木马一般会监视用户正在操作的窗口，如果发现用户正在访问某网银系统的登录页面，就开始记录所有从键盘输入的内容。这种方法很通用也很简单，用于获取网银或者在线游戏的帐号密码时，效果一直很好。

   2004年11月的“网银大盗Ⅱ”木马，是一个典型的例子，它把几乎所有的国内网银系统都列为盗窃的目标。在测试中，只有少数提供虚拟键盘技术的登录系统可以避开它。

嵌入浏览器执行

   多数网银交易都是通过网页浏览器完成的，嵌入浏览器进程中的恶意代码能够获取用户当前访问的页面地址和页面内容，还能够在用户数据以SSL安全加密方式发送出去之前获取它们。利用这种技术的木马，通常会动态改变用户正在浏览的页面内容，比如增加一段用以获得帐号密码然后发送出去的javascript脚本，或者让浏览器自动打开另外一个恶意的网页。使用网页脚本制作的虚拟键盘，在对付这类木马时会完全失效。

    “网银大盗”木马（Trojan/PSW.HidWebMon）就利用了这种技术，它监测到用户正在访问某个引用了安全登录控件的地址时，就会让浏览器自动跳转到另外一个网页。后者看上去和正常登录页面没什么两样，只是没有任何安全登录控件的保护。

    对于那些只对交易对话进行验证，而没有对交易过程进行验证的系统，嵌入浏览器的恶意代码甚至可以完全控制一次交易。这样的交易系统只对用户身份进行验证，而在用户身份确定之后无条件的执行任何来自用户的指令。木马可以等到用户验证通过后再开始工作，拦截用户的转账操作，篡改数据后发送给服务器，服务器没有办法区分给它发出转账指令的是用户还是木马，直接执行了转账，木马再把服务器返回的信息篡改后显示给用户。目前，这种技术只在国外的一些网银木马上看到，国内尚未发现这样的例子。

屏幕“录像”

   有些网银木马的确会进行“录像”，它们并不会生成体积庞大的视频文件，而只是在键盘记录的基础上，额外记录了用户点击鼠标时的鼠标坐标，以及当时的屏幕截图。黑客根据这些数据，可以完全回放出用户在进行交易时敲击了哪些键、点击了哪些按钮、看到了什么结果。

   “证券大盗”（Trojan/PSW.Soufan）就是这样的木马，它抓取的屏幕截图是黑白色的，数据量很小，但对于病毒作者来说，这些黑白图片加上键盘鼠标数据已经足够了。

窃取数字证书文件

   数字证书是网银交易的一项重要安全保护措施。有些系统允许用户把证书保存成硬盘文件，这是一个安全隐患。2004年9月，TrojanSpy.Banker.s和TrojanSpy.Banker.t的作者仔细观察了某个人银行系统保存证书的整个流程后，编写了木马，他的程序能够准确识别这个流程的每个步骤，自动记录必要的数据，最终再复制一份证书文件。木马作者利用盗取的证书和其他必要信息达到非法使用证书的最终目的。

伪装窗口

   2006年，国内出现了一系列新的网银木马，它们都是TrojanSpy.Banker.yy的变种，感染了很多用户。这类木马首先向IE浏览器注入一个DLL，用以监视当前网页的网址，同时记录键盘。当发现用户输入了卡号、密码并进行提交以后，迅速隐藏浏览器，弹出自己的窗口。木马弹出的窗口看上去和在线理财的页面非常相似，并且包含一些“钓鱼”文字：称由于系统维护需要，用户必须重新输入密码。只有当用户再次输入的密码和最初登录时的密码吻合时，木马才会把密码发送给木马作者。伪装成浏览器界面的木马实现简单，虽然技术上听起来比较幼稚，但效果却很好。
  
   上面列举了网银木马的常用手段。实际情况是，大部分网银木马同时采用多种技术来保证窃取过程的成功率和隐蔽性。网上银行业务正在不断的普及、深入和扩展，越来越多的新业务形式正在涌现，比如运行在智能手机上的掌上银行。木马作者们的跟进速度总是很快，可以预见，更多更老练、更有创造性的方法也会在不久的将来被新网银木马所采用。

反病毒软件在客户端网银交易的安全解决方案

　　在网银交易中，各国都把反病毒软件都作为保护客户端网银交易的重要保护手段之一。由于网银木马种类繁多，技术多样。本篇文章中，以江民KV反病毒软件为例，介绍解决方案。

基于行为的主动防御机制

    包括网银木马在内的绝大多数恶意软件，都有一些共同特征。
例如：
* 创建注册表键值，使自己可以在系统启动时自动运行；
* 创建自动加载的服务；
* 将自己设置为BHO插件或运行钩子等，依附于浏览器等常用进程启动；
* 创建远程线程，把代码注入到IE等进程，用以躲避防火墙；
* 采用Rootkit技术，用以隐藏和保护自己；
等等……

　　江民杀毒软件利用注册表监控、远程线程监视、反Rootkit、系统监控等技术，实现了对这些敏感行为的监控，能够在木马实现这些操作之前进行拦截防御，并提示用户。
　　在没有病毒库支持的情况下，主动防毒体制能够拦截绝大多数未知病毒。

　　同时，进行敏感操作的可疑程序会被发送到江民公司的病毒收集服务器，供反病毒工程师分析。新的升级病毒库可以在很短的时间内制作完成，供所有用户下载升级。

　　江民反病毒软件主动防御机制工作原理图示如图3。

图3

　　将窃取的用户资料通过网络发送出去，是几乎所有木马的共有行为。江民反病毒软件具有隐私保护功能，可以让用户设置自己的隐私数据，比如银行帐号密码、游戏帐号密码等。所有从用户计算机发送出去的网络包都要经过隐私保护模块的过滤，那些包含隐私数据的网络包将被拦截。这样，即使用户的隐私数据已经被木马成功窃取，也无法轻易发送出去，避免了用户的损失。

隐私保护示意图见图4。

图4

江民“密保”——密码保护利器

    针对以网银木马为代表的盗取密码类恶意软件，江民公司在原有隐私保护模块的基础上，增加了若干系统监控模块和可疑程序分析模块，设计出独立的密码保护产品——“江民密保”。

　　“密保”主要针对网银交易的特点设计开发，可以对网银、网游、即时通讯软件等几乎所有账号、密码进行有效保护。在模拟测试中，“密保”对盗号木马的拦截率达到100%。

“密保”工作示意图见图5。

图5

强劲的杀毒能力

　　很多恶意软件运行后具有自我保护能力（如采用Rootkit技术），来对抗反病毒软件的查杀。江民公司的对策是给KV反病毒软件增加了BOOTSCAN功能。BOOTSCAN可以在系统没有完全启动时加载运行，对磁盘文件进行扫描和清除。因为BOOTSCAN抢在绝大多数恶意软件之前运行，所以不会受到它们自我保护功能的影响，杀毒效果非常好。

    江民公司的软件正在为中国上亿网络用户提供网络安全保护。凭借优秀的防毒、查毒、杀毒能力，江民公司很早就与汇丰银行（HSBC）中国总部成功达成OEM合作。汇丰银行向其中国网银用户推荐江民反病毒软件用来保护客户端用户的安全网银交易。

对今后网银木马防范的几点建议

1、 加强网银用户的安全意识

   虽然用户的安全意识无法抵御精心制作的木马，但它在网银木马防范工作中仍是非常重要的因素。定期检查安装微软安全更新程序、每天升级反病毒软件的病毒库、不要轻信不明邮件里面的内容、不要随意在不明网页上提交自己的网银帐号密码、给自己计算机的管理员帐号设置一个不太容易猜出来的密码，这些听起来很简单也很基本的措施，能够避免感染绝大多数的网银木马。但实际情况告诉我们，目前国内大多数用户仍然没有做到这些。

   加强对用户进行网银交易安全意识的宣传，是金融业、网络安全业和媒体共同的责任。

2、 加强网银交易的安全性

   自网银交易以来，网银交易在安全性方面得到了显著的提高。但网银木马作者们在挖掘和利用系统漏洞方面的能力，总是超出我们的想象。越安全的交易系统，能够通过它获得非法利益的木马作者就越少。因此，不断加强网银交易的安全性能，是网银木马防范中的重要环节。因此，反病毒厂家应以很低的价格向银行提供反病毒软件产品（OEM方式，约不到5元人民币/年服务费），银行应向本银行的存取卡用户在收取卡费时，应不另收费的方式或少收的工本费的方式向用户发放反病毒软件。

   另外，银行的网站应和反病毒厂家联合起来开展网上在线杀毒，这样，用户在登陆银行网站时可选择在线杀毒，可预防用户电脑中有病毒。

3、 加强政府部门、金融单位和安全厂商的紧密合作

   公安机关对网络犯罪的打击逐年增强，破获了很多大案。统计数据告诉我们，还是有很多黑客和木马作者铤而走险，继续制造木马程序、建立恶意网站、攻击网站服务器。有的恶意网站存活周期长达几个月，感染了很多用户。监督网络环境、加强网站管理、打击重大网络犯罪，是震慑木马作者、削减木马存活环境的必要措施。

   进一步规范网络秩序、保护广大网银用户的利益，是政府部门、金融单位和安全厂商的共同责任。在防范和打击网银犯罪方面，三方各自拥有的职能和信息是很好的互补。加强三方的合作，充分利用彼此资源，能够事半功倍，更加有效的抑制网银木马、创造更加健康繁荣的网络交易环境。