===召唤各路高手 一起来讨论下如何防御这种 网银木马（已更新解决方案，厂商请进)===

Couphine

fzq198776 发表于 2011-6-19 11:57
都说了，被文本框覆盖，难道这三个框框 不能都被覆盖吗？？和控件 什么的 没关系，仔细看下原理

问题是覆盖后你能显示实际应该汇款的人的名字吗？

如果你发给银行指令里的帐号是你默认设置的。那么回给你的就是你默认设置的帐号的名字。

你去哪里找到我输入的帐号的名字？

fzq198776

zgh8414 发表于 2011-6-19 12:37
问题是覆盖后你能显示实际应该汇款的人的名字吗？

如果你发给银行指令里的帐号是你默认设置的。那么 ...

你再仔细看看主题帖里描述的原理吧，你真实 输入的 银行卡号 是在他他伪造的文本框里，压根就不会传给网银

晚风中的泪

确实危险

chaezoy

根据楼主的描述，此类木马的主要动作是：当用户点击“转入账户”的button时，获取真实的文本框对象，传入自己预备好的字符串参数，同时弹出自己的伪造文本框窗口，盖住真实文本框并不断获取焦点，保证前端显示。
这种方法从安全软件方面如果要防的话，道理应该也是一样的，当判定用户行为是输入账户密码时，在while循环中强制刷新浏览器或者真实文本框的焦点，以保证其在最前端显示。或者这个处理方式可以用网银的服务器端完成，当弹出真实文本框时，只要对象还没被release，就一直刷焦点，保证前段显示。这样应该是个人能想到的最简单的应对方式了吧……

Couphine

fzq198776 发表于 2011-6-19 12:45
你再仔细看看主题帖里描述的原理吧，你真实 输入的 银行卡号 是在他他伪造的文本框里，压根就不会传给网银 ...

我当然知道我输入的银行卡号没给银行。问题是我在转帐时候，银行会反馈一个页面，等待你的确认。这个页面包含有银行卡号的姓名。可以用来确认是否正确。

当你劫持了输入框的时候，发给银行的是你木马设置的帐号。这时候银行反馈回来的页面就会出现这个帐号的真实姓名。

这个木马是怎么解决的?

PS：如果要是真这么好搞，技术要求又那么低，那么这个世界的网银系统早就崩溃了。不是吗？

fzq198776

zgh8414 发表于 2011-6-19 14:22
我当然知道我输入的银行卡号没给银行。问题是我在转帐时候，银行会反馈一个页面，等待你的确认。这个页 ...

这个很容易，那就是屏蔽银行汇款确认的弹窗，然后木马伪造一个银行的弹窗，我的主题帖里有 样本截图的
PS：如果黑客连这都破解不了，你让那些编写病毒的怎么混饭吃？

Couphine

fzq198776 发表于 2011-6-19 15:12
这个很容易，那就是屏蔽银行汇款确认的弹窗，然后木马伪造一个银行的弹窗，我的主题帖里有 样本截图的
P ...

屏蔽没用啊。因为你需要在银行的弹窗里点确认才行。难道模拟鼠标or键盘搞定？

那银行的插件那么好容易过？

ps：同样，如果这么简单。网银系统早崩溃了。

fzq198776

zgh8414 发表于 2011-6-19 15:17
屏蔽没用啊。因为你需要在银行的弹窗里点确认才行。难道模拟鼠标or键盘搞定？

那银行的插件那么好容 ...

是啊，你没看到那个样本的截图么？专门针对 第一代 U盾 （第二代U盾暂时还无法破解，不过估计只是时间问题）

Couphine

fzq198776 发表于 2011-6-19 15:19
是啊，你没看到那个样本的截图么？专门针对 第一代 U盾 （第二代U盾暂时还无法破解，不过估计只是时间问题 ...

你那图片很早就看到了。真要这么好盗。早就泛滥了。每年网银交易这么庞大。

显然这个只是YY而以。网银在登录的时候除了U盾外，还有控件。这么容易就被能被搞定。那些控制N万台肉鸡的人早就不把用网银的扫荡一空了啊！

ujty

拦截它很有难度?我不这么认为...