===召唤各路高手 一起来讨论下如何防御这种 网银木马（已更新解决方案，厂商请进)===

fzq198776

我看了一个专门针对 网银转账的 木马，当你转账时，直接弄出了一个伪造的文本框覆盖在 网银页面的“转入账户”一栏上，然后在真正的“转入账户”一栏上填入 攻击者的网银账户，但这时候因为被他的伪造文本框所遮挡，因此你根本看不到，然后你在他伪造的文本框里输入了你真正想 转入的账号，但是很显然这是无用的。由于你还插着 银行吹的 牛B哄哄的 U 盾，所以你至始至终都以为你的操作是安全正确的，当你点击确定时，你的钱也就进了攻击者的口袋了。在整个过程中压根就没有替换什么“交易页面”，而且也压根没有替换的必要。类似的攻击方式还可以衍生，各位可以发挥下你们邪恶的想象力（比如说可以把转账金额那一栏也用伪造文本框覆盖，然后在转账金额里填写你银行卡的全部余额。。。）。 对于这种木马，主防还真不好防，估计像什么毛豆、MD、360、微点、瑞星、KIS2011、诺顿等杀软的 行为防御 碰到此类木马也只能歇菜，因为几乎没啥动作，而且也没啥技术含量，其实就是猥琐流+社会工程学的结晶！我感觉针对这列木马只有快速云响应才是最有效的，所以我才把360卫士换成了 金山套 —— 金山云的快速响应 快速鉴定，平心而论还是不错的。目前用的组合式 金山套装 + MSE +NIS2011

--------------------------------分割线--------------------------------

解决方案一：详见53楼

---------------------------------分割线--------------------------------

PS-1：不知道金山网购保镖的 “将浏览器置于沙盘运行”和 KIS2011 安全桌面 里运行浏览器能不能防御这种木马在浏览器上伪造文本框
PS-2：请各位先爬爬楼，再回帖
PS-3：为了增加说服力，放一个此类样本的截图，你们看了害怕吗~~

hadg

额........这么低级的木马............盗QQ时早就用烂了...........

fzq198776

hadg 发表于 2011-6-18 22:53
额........这么低级的木马............盗QQ时早就用烂了...........

确实很低级，正如帖子所言，这种木马根本就没有什么技术含量，但是却极其有效，杀软 也极其不好防御

hadg

fzq198776 发表于 2011-6-18 22:55
确实很低级，但是却极其有效，杀软 也极其不好防御

这种必须与键盘进行挂钩，而交易时是不允许这样做的，会屏蔽掉一切与键盘进行挂钩的进程。

BHHZDQL

网购保镖

fzq198776

BHHZDQL 发表于 2011-6-18 22:57
网购保镖

利用内核漏洞 可以 让 360 的网购保镖忽略 某些文件，不过这种漏洞由于极其难找，而且利用价值大，所以很贵，360的内核漏洞 在国外黑市 可以卖到 20W 欧元

BHHZDQL

fzq198776 发表于 2011-6-18 22:59
利用内核漏洞 可以 让 360 的网购保镖忽略 某些文件，不过这种漏洞很贵，360的内核漏洞 要 20W 欧元

所以很多人都买不起

fzq198776

hadg 发表于 2011-6-18 22:57
这种必须与键盘进行挂钩，而交易时是不允许这样做的，会屏蔽掉一切与键盘进行挂钩的进程。

我说过你可以发挥你邪恶的想象力，比如说木马内置攻击者的网银账户，于是木马可以直接复制粘贴，压根就不需要挂钩键盘

陈识宇

问题是这么能耐的木马，
是怎么来到你的机器里？
又怎么被运行安装？
又怎么随心所欲地突破防火墙飞将出去？

BHHZDQL

我现在就编写个木马过金山云鉴定信不？你的电脑将会不断重启，无法进行办公等