在火热的证券\股市上股票大盗也疯了“股票大盗”木马主要通过监视键盘输入盗取用户账号和密码的木马病毒,根据其技术特点,介绍其技术实质――即键盘钩子的工作原理;并通过技术分析,给出了在应用程序中如何防范此类计算机木马病毒的实现方法。
先说股票大盗前身证券大盗:
一、“证券大盗”概述
曾在2004年,互联网上出现了一种专门盗取证券网上交易系统交易账号和密码的木马病毒“证券大盗”,一度在网上投资者中造成不小的恐慌,如何防范“证券大盗”病毒成为当务之急。
股名要防范“证券大盗”病毒,首先要了解它的技术特点。根据互联网上反病毒软件商公布的“证券大盗”信息,其作案过程如下:
1)用户访问f网站,该网页利用用户计算机系统的安全漏洞,把“证券大盗”木马病毒在用户不知觉中植入用户计算机中并运行。
病毒运行后,将创建自身复本于:%windir%,201216字节,在windows任务管理器中可以看到system32进程在运行。
3)在注册表中添加下列自启动项,当计算机重启时,该木马都会自动运行:[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun]"system"dir%。
4)木马运行时寻找部分证券网上交易系统窗口,如果发现该口就开始启动键盘钩子对用户登录信息进行记录,包括交易账号和密码。
在记录键盘信息的同时,通过屏幕快照将用户登录时窗口画面保存为图片,存放于:c:文件中。
6)当记录指定次数后,将账号密码信息和图片通过电子邮件发送到如:
ebady。
7)发送成功后,病毒将自身删除。
从“证券大盗”病毒作案过程看,它是一种典型的以盗取账号和密码为目的的木马病毒。类似这样的木马病毒已出现多次,如2004年6月出现的针对网上银行的“银行大盗”木马,以及目前针对网络游戏、即时通讯工具的木马病毒等,将来类似的木马还会大量出现,如果防范不及时,账号和密码被盗取,可能给用户造成重大损失。所以针对这一类木马病毒的防范措施,显得尤为重要。
那么到底该如何防范这类木马病毒呢?反病毒软件商开出的方子是安装防病毒软件,并更新具有查杀“证券大盗”的病毒代码库。这是一个被动防御的权益之计,治标不治本。因为这样是先有矛,后有盾。现在能预防“证券大盗”木马,但一旦又出个“期货大盗”或类似的其他大盗,或者相同工作原理的其他证券木马病毒,你又束手无策了。杀毒软件的更新有一个滞后期,等杀毒软件能查杀该病毒,已经有用户因为密码泄密而损失惨重了。所以要从根源上采取必要的措施,才能防范此类木马病毒。
二、“证券大盗”木马工作原理
现在对付传染性流行病最好的办法是让易感人群接种疫苗。对付“证券大盗”这一类木马病毒的最好方法,也是搞清他们的工作原理,在应用软件中植入预防此类病毒的抗体。“证券大盗”实质上是利用键盘钩子技术进行做案的,搞清楚钩子的工作原理,就不难找到对付“证券大盗”木马的有效方法了。
在微软的msdrosoftdeveloppework,微软开发者网络)中,对钩子(hooks)有非常详细的介绍。这里是部分内容的译文,原文省略。
钩子(hook)是windows消息处理机制的一个要点(p。应用程序可以安装钩子处理程序去监视window消息传输并可以在一些消息传递到目标窗口之前处理这些消息。
dows系统支持许多不同类型的钩子;每种钩子提供处理不同方面的消息处理机制,如可以用wh_mouse鼠标钩子来监视鼠标消息的传递。
dows系统实际支持如下13种类型的钩子,对“证券大盗”病毒而言,我们关心的是键盘消息“钩子”(wh_keyboardhook):