|
- 帖子
- 2558
- 积分
- 6490
- 金钱
- 66705 金币
- 贡献
- 321 点
- 包子
- 0 个
|
报告文学:网银大盗xxxx记
北京今年热得早,全国好像今年都比往年热的早,就像这眼前坐在沸腾渔乡门厅里等候座位的人一样,浮躁地喧嚣着。这沸腾渔乡的水煮鱼在北京已经热了几年了,前来品尝的人依旧络绎不绝。
尽管已经快晚八点了,戴硕他们依旧没有排上座位。下意识中,戴硕去包里摸手机想要看看具体时间,没想到手机屏幕上显示着未接电话3个,未阅读段信的提示符也在闪烁着。正要详细去看,电话铃又急促地响了起来……
“戴硕,请你立即回公司来,半小时内必须回到公司。”
没等戴硕解释询问任何事情,电话已经挂断了。戴硕听得出那是他上司,江民公司副总经理兼技术部总经理何公道的声音,从话语的急速程度来看,一定是出了大事。戴硕一边向同伴告别,一边向外面走,手机屏幕上显示的时间是2004年4月20日20:00整。此时,他还不知道那个标志着病毒制造者向网络银行安全挑战的病毒——网银大盗,正威胁着500万用户的财产安全,也不知道那个病毒曾在他的手下、眼下向他示威过。此时,江民公司技术部的办公室里,何公道和技术总监严绍文正在等候员工们回到办公室,这间办公室里的灯光和人们,在这一晚将注定彻夜不眠
2004年4月12日,一个普普通通的周一
9:00刚过,江民公司反病毒技术部员工戴硕坐在数码大厦12层办公室里自己的位置上,看着楼下四通桥周围拥挤的车流,对急匆匆走进门来的同事说:
“又被堵在路上了?”
同事回答说:“这还是比往常提前了15分钟出门呢,现在的堵车已经不分日子和时间段了,交警都没办法。”
戴硕转回头来,看着计算机屏幕上电子邮件收件箱后面不断闪烁增加的数字说:“没错,就像这每天不断增加的病毒报告一样,把人折腾的都近乎麻木了,真没办法。”
事实上,反病毒工作人员的工作也很像警察,每天要处理大量的病毒报告,像警察处理案情报告一样。这些病毒报告都是普通计算机用户在日常使用计算机过程中发现并提交上来的,其中有老病毒也有新病毒。新病毒又分为两类,一类是老病毒的变种,一类是以前没有发现过得新样本。
经过十几年的病毒与反病毒的较量,大多数的计算机用户现在对病毒已经不是那么畏惧了,大家似乎已经习惯并依赖江民公司这样的反病毒公司对病毒的监控和反病毒软件的升级。并且,由国家公安部、国家反病毒应急处理中心、杀毒软件厂商共同建立的反病毒快速响应机制也越来越完善,并在数次突发事件中显示了威力。
整理好病毒报告后,戴硕照例抄送了一份给自己的上司——江民公司副总经理兼技术部经理何公道,然后开始逐一分析收到的病毒样本。一切都像往常一样,100多个病毒报告中,70%是旧病毒,由于用户的杀毒软件库升级不及时,又被当作新病毒提交了上来。
筛选处理过程紧张有序地进行着,戴硕的目光被一个木马病毒所吸引。尽管这个病毒在开始的代码段加了一个壳,戴硕还是一眼就看到了关键代码段:是一个盗取计算机用户账号和密码的木马病毒,可以算是以前一个木马病毒的变种,并且可以判定是职业的病毒作者所编写的病毒程序。网络游戏盛行以来,这样的木马病毒特别多。
将判别代码和清除代码加到杀毒库后,在填写病毒危害级别的时候,戴硕有些犹豫,填写低、还是中呢?按照查杀难度来看,查杀非常容易,填写低就可以了。但是按照一个新的变种病毒来对待,填写中也可以。
因为是在控制台里面操作,而控制台的界面不支持中文显示,戴硕没法判别这个病毒代码中那段变形了的中文字符,也就无法判断这个病毒是针对那个网络游戏的,略微停顿,戴硕标注了一个“中”,然后开始处理下一个病毒。心里想,等其他病毒全部处理完了,再到控制台外面看看那段汉字,不知道那个网络游戏的玩家又要倒霉了,看清楚后通知一下那个游戏厂商。但他怎么也没有想到,这个病毒就是在盗用网游账号和密码的木马病毒基础上修改出来的、目的是盗用某银行用户们网上信用卡支付的账号和密码的病毒——网银大盗。
2004年4月21日,一个值得记录的日子
凌晨4:00,第三次测试已经做完,网银大盗病毒的工作机理、用户目标、测试分析都已经进行完毕,江民公司技术部的成员们有些欣喜也有些沉重,因为这个病毒的传播虽然不会像CIH、红色代码等那样疯狂,但中毒者所受到的损害是无法估量的。无论你的网上银行卡中有多少钱,盗取密码者都可以一次性将你的财产全部转移,即便是千万富翁,也可能在10秒内成为赤贫。
网银大盗病毒是专门盗取某网上银行用户名和密码的木马病毒,这种病毒会在用户计算机中创建可执行文件与挂钩和发信模块文件,并修改注册表,病毒在计算机系统启动时即可运行。病毒主程序开启2个计时器,计时器1每隔3秒钟检查是否有常用反病毒和防火墙软件运行,一旦发现则立即终止这些反病毒进程,让你所安装的杀毒软件不起作用。同时还自动检查病毒文件本身的信息是否完整,如果不完整就回写病毒注册表项和病毒文件,保证病毒运营需要的计时器,发送器能够运行。计时器2每隔0.5秒搜索用户的IE窗口,如果发现用户正在某网上银行的登陆界面,则尝试窃取注册卡号和密码。一旦成功,就把窃取到的信息保存到共享内存中,一旦与网络再次连通,木马就会把共享内存中保存的用户账号和密码通过电子邮件发送给病毒作者。
一边写着报告戴硕一边想,尽管13日江民公司发布的反病毒升级库里,自己已经加进去了查杀这个病毒的代码,但用户们不知道这个病毒的危害,如果没有及时更新病毒库就有可能造成损失,好在中毒的人们未必都使用这个银行的网上银行功能,但即便有一个人受到损失,自己心里也觉得过意不去。如果那天忙完后,及时地去看一下病毒中的那段中文代码,也许能早一点发现并重视起来,因为从现在的报告看那段中文代码明确地显示着:某某网上银行支付系统的字样。后悔的同时,戴硕心里也感激他的上司们,是他们这些富有经验的反病毒专家,及时发现了这个重大隐患。
5:00,江民公司总经理我国反病毒专家王江民打来电话,询问事情的进展情况,指示要迅速完成报告,并将报告提交国家反病毒应急处理中心和公安部反病毒处。对用户,要提醒他们尽快升级杀毒库,做到及时防杀。要保证用户从江民网站下载新的反病毒库的畅通。
何公道听完指示后说:请王老师放心,我们会及时准确地处理的,您休息一下吧。没想到王老师在电话那头说:我很快就会到公司,你招呼一下大家,让他们去吃点东西,多喝水。
6:00,一份记录着全过程和结果的邮件从何公道的机器里发往国家反病毒应急处理中心和公安部。
除了每年一两次破坏力特别强的病毒发作时期,会有很多用户前来咨询、寻求帮助之外,江民公司在大多数的日子里,并没有多少客户来访,只有技术人员用他们辛勤、智慧的劳动,保障着大众计算机的安全。但是,今天这个日子是个不平凡的日子,上班时间刚到,江民公司上上下下便开始紧张地忙碌起来。
何公道办公室里的电话不时响起,公安部表示要严查该病毒的作者,请江民公司提供尽可能详细的资料,包括病毒样本提供者的信息,提供的时间等等。
信息很快被整理出来,上面显示着病毒样本提供者所使用的江民公司杀毒软件序列号,初次发现病毒时间:2004年4月10日23:00;病毒样本提交时间:2004年4月11日19:10。这里的时间是该用户计算机上的时间。
接近中午时分,江民网站、国家反病毒应急处理中心网站率先发布了该病毒的预警消息,提醒广大用户注意该病毒的危害,14:00左右,新浪网、硅谷动力网站、天极网等陆续发布了这条消息。可是,这个消息并没有引起广泛的关注,被病毒折磨得近乎麻木的人们,还远远没有意识到它的危害性。不过,被这个病毒瞄上的那家银行,已经注意到了作这条消息。
2004年4月22日 专家会诊
22日上班后,江民公司的技术总监严绍文接到一个电话,是某银行打来的,询问网银大盗病毒的事情,说他们已经接到了公安部的通知,也看到了这个消息,但是从他们内部排查,没有发现什么问题。“你们能够明确地证实这个病毒对我们银行的客户有危害么?你们是慎重考虑过的么?这是直接影响到我们客户和我们银行声誉的问题。”
“请你们携带病毒的相关资料,来我们这里参加现场分析会,我们请了软件开发方、微软专家在这里等候你们。”尽管听出对方有些不满,严总还是很认真地准备了资料,和戴硕一起赶往对方指定的会场。
到了会场以后,严总感觉到会议已经进行了一段时间了,显然参会的这几方面已经有过较长时间的讨论,他们是银行网上业务的负责人、银行网上业务程序开发方人员、提供软件平台和开发工具的微软公司专家。
严总介绍完情况后,各方专家依然持有怀疑态度,提出要在现场做实验,计算机平台已经预备好了,显然是有备而来。根据规定,反病毒公司是不可以在公司试验平台之外进行病毒试验的,但现场的情况又不容严总拒绝。严总拨通了王江民董事长的电话,王老师回答说:你电话请示一下公安部和国家反病毒应急处理中心。严总一通电话之后,上级单位都给与了充分的理解和支持,同意在现场进行试验,并叮嘱试验后一定要做安全处理。
试验开始了,一遍、两遍、三遍,一切正常,并没有密码被盗的痕迹。除了严总和戴硕之外,现场每个人脸上的表情都渐渐轻松起来。偏偏严总和戴硕不给面子,非要坚持说密码确实被盗了,监测不出来的原因是检测软件有问题。
现场出现了片刻的僵持,大家的争论嘎然而止。最后,银行的领导说话了:这个事情关系到广大用户的利益,牵涉到巨大的财富问题,我们和微软专家,和程序开发方一起,去你们公司的测试平台去进行测试!
一行数人移师江民公司,早已做过多遍测试的江民公司技术人员熟练地操作着,各位专家的目光盯着江民公司监视软件显示结果的窗口页面,“有数据包向外发送。”;“咦,怎么会跳转到这个URL链接上”;“病毒的作者对我们银行的情况非常熟悉”……
断断续续地话语之后,专家们的表情越来越凝重。眼前的情况显示,当用户登陆网上银行正常页面时,病毒会将该网页自动跳转到一个没有安全控件的登陆页面,从而避开了安全认证。
专家们十分惊叹病毒作者对网上银行网站的了解程度,但他们不认为是内部人员制造了这个病毒。网站设计专家猜测,一些网站维护人员为了维护上的方便或是其它的需要,在网站上留了一个网页接口,这个网页虽然没有向外发布,但对于一些黑客来说,找到这样的网页文件所在路径并不是难事。
网银大盗病毒正是利用了这一漏洞,轻而易举地窃取到用户账号及密码,并利用自身发信模块向病毒作者发送。
斗争在继续
问题已经很明显了,但反病毒专家和病毒作者的斗争还在继续。有读者要问,找到了问题,赶紧解决不就成了么?
事情并不那么简单,这就像是你家里有一个坚固的防盗门,足以抵挡高水平的小偷,但是小偷根本就没在你这个门上做手脚,而是从你家的下水道进了你家一样。更糟糕地是,你暂时还不能封闭这个下水道,也就是网上银行系统现在还不能立即封闭那个危险的网页。
江民杀毒软件能做到的是,尽量不让小偷跑到你家门前,把病毒这个小偷拒绝在楼道外、把病毒从你家门口——你的计算机里面赶走。因为网银大盗这个小偷,一旦到了你的机器里,就等于到了你家门前,也就是能找到那个进入你家的下水道了,你的防盗门——网络银行密码登陆的那个安全系统对它已经不起作用了。
2004年4月24日星期六,本来应该休息的日子里,江民公司的员工却都还在忙碌着,一家家不同银行的电话打进来,询问着事情的进展。尽管目前发现的网银大盗只盗取某网上银行用户卡号和密码,但不排除其变种可以成功偷取其它网上银行用户密码的可能。
2004年4月24日星期六,本来应该休息的日子里,网上银行开发系统的工作人员们依旧忙碌着,他们和微软的专家一起,寻找着、实验着解决的办法。
2004年4月24日星期六,本来应该休息的日子里,公安部的同志们也在忙碌着,一张捕捉病毒制造者的网,正在慢慢收紧……
|
|
