危险的银行木马

来自黑客世界的恶意软件正试图获取你的银行账户和信用卡资料，其中的ZeuS和Spy Eye甚至开始在你的电脑中争夺地盘。如果你想了解详情，那么请看CHIP的独家报道。

鹬蚌相争你本该高兴，这样可以渔翁得利，但是你没有任何理由为了ZeuS和Spy Eye互相争斗而感到高兴，因为它们是在你的地盘上大打出手，而且它们的目的都是觊觎你银行账户里的钱。另外，从这两个专攻盗取银行账户和信用卡资料的木马激烈的竞争中，不难看出，盗取银行信息的木马已有泛滥之势，它们已经到了抢占市场份额的时候了，如果我们还继续无动于衷，那么后果将不堪设想。这些恶意程序除了盗取敏感信息以外，对电脑的性能也有不良的影响，因而，无论我们是否使用网上银行，都有必要弄清楚它们是如何工作的以及如何采取有效措施保护自己免受侵害。

ZeuS：银行木马之父

恶意软件ZeuS，也称为ZBot，这是一个臭名昭著的木马工具包，通过该工具包所创建的木马同样被称为ZeuS。自2007年首次出现以来该木马已经存在了4年，经过4年的更新换代，如今的ZeuS木马工具包功能已经非常完善，它所创建的木马异常强大，能够实施的攻击也已经远远超出绝大多数人的想象，ZeuS以僵尸网络的方式工作，所有受感染的电脑都将服从于控制服务器的指挥。该木马能够盗取被感染电脑上的所有数据，并且能够拦截所有系统处理的数据，无论是网络传输的数据还是用户输入的数据，皆无一幸免，甚至你使用鼠标经由软键盘输入的密码，ZeuS也能够通过截取屏幕内容的方式获得，它所截取的银行数据将被传输到控制服务器，控制服务器可以通过这些数据操纵你的银行账户，例如将你银行账户中的钱转入指定的账户。

此外，ZeuS还能够操纵浏览器数据，在你访问一个网站时修改网站返回的数据，例如在你访问网上银行时动态修改页面的数据，在其中插入一个要求键入账户和密码的输入框，以绝大多数人都难以察觉的方式，轻松盗取你的用户账户。其次，ZeuS木马能够检测网站和用户的数字证书，从而轻松地操纵用户的银行账户。由于ZeuS木马是一个专业的木马工具包，所以不同的使用者可以根据需要创建不同的木马，因而，该木马的变种非常多，检测与控制的难度都很大。根据专家的估计，该木马在全球所造成的损失已经超过了7000万美元。

Spy Eye：包含Zeus杀手的木马

2009年年底，一个新的恶意软件Spy Eye出现在俄罗斯的黑客论坛上，这是一个类似于Zeus的商业化木马工具，Spy Eye采用类似于Zeus的工作方式，同样以盗取银行信息为主要目的，但是Spy Eye并不打算与Zeus分享市场份额，而是希望取而代之。该木马的开发者密切关注着其他的木马程序，研究分析了近4年的木马程序，并从中学习和修正错误，其结果是Spy Eye成为了一个近乎完美的木马，并掀起了银行木马之间激烈竞争的态势。竞争的结果是让所有的木马程序都更加强大，而电脑用户的安全则更加岌岌可危。例如早期Zeus木马只能够渗透Internet Explorer浏览器盗取银行账户，因而，用户使用Firefox浏览器就能够有效地保护自己，而Spy Eye从一开始就掌握了拦截Firefox浏览器信息的技术，在Spy Eye出现之后，Zeus很快跟进，增加了Firefox浏览器渗透功能，用户再也无法通过使用Firefox浏览器来增强安全性。

另外，Spy Eye还发现了Zeus木马的一个后门，Zeus的开发人员在木马上准备了一个后门，通过它简单地单击鼠标即可卸载木马，借此可以快速地为木马更新换代。Spy Eye的开发人员利用这一点，在自己的木马中加入了一个Zeus杀手，轻松地将Zeus从被感染的系统上清除掉。目前，有许多病毒防御软件开发商也利用同样的方法清除木马。

黑客活动：Spy Eye公关

与正规的商业软件市场一样，销售木马的地下市场同样有着价格战、假冒、盗版、公关宣传等市场活动。Spy Eye开发商“Harderman”更是其中的高手，在ZeuS杀手功能引起轰动之后，他频繁出现在各大黑客论坛上，并且在网站上打广告和接受采访，使Spy Eye声名大噪，甚至使一些不明就里的人和媒体对Spy Eye究竟是一个杀病毒软件还是一个木马的问题开始产生混淆。

更令人惊奇的是，在与Spy Eye竞争了一段时间之后，ZeuS的开发者将ZeuS的源代码转给了Spy Eye的开发商“Harderman”，“Harderman”高调宣布将接手ZeuS的技术，同时，以7折的价格向ZeuS的原客户出售Spy Eye，并声称将把两者融合成为一个超级木马。这究竟是一次并购重组，还是另有目的的一次合作，坊间的传言甚多，而真相究竟如何目前仍不为人知。更令人担心的还是“Harderman”所说的超级木马，幸好，从目前地下市场的交易情况来看，这两种木马仍旧是独立发展的，虽然2011年年初以来经常出现一些带有这两种木马特征的恶意程序，但暂时还没有发现可以确定是两种融合的木马。

木马现状：千变万化

相关的研究人员认为，ZeuS开发人员宣布放弃开发该木马工具可能只是一个让ZeuS从火线撤下来的策略，因为这4年来ZeuS一直是最引人注目的木马病毒，为此，所有的安全软件都对其严防死守，在此情况下该木马已经不再那么容易获得成功。如果这是真的，那么这一策略目前来看是成功的，因为在ZeuS宣布退出之后，一些新的ZeuS变种在地下交易市场被发现，而这些化身更不容易被察觉，通常在作恶一段时间后才被发现。

其次，ZeuS的化身在手机上也都频频得手，在欧洲出现了一系列新的Zeus木马，锁定黑莓、Symbian及Windows Phone等手机平台，木马通过拦截银行网站所发出的交易验证短信获取用户登录网上银行的密钥，盗取用户的银行资金，影响遍及欧洲的数十家银行。

另外，Spy Eye也一直在不断地更新，除了木马工具本身越来越强大之外，Spy Eye还支持通过增加模块来扩展程序的功能，而截止到2011年3月，已有超过150个针对浏览器、数字证书、闪存盘的模块出现，可以说，Spy Eye木马现在已经变得无比强大。

与此同时，木马导致资金被盗的案件在美国开审，由于Zeus木马导致银行资金被盗取的企业状告银行未能侦察和防止用户的资金被盗取，法官最终裁定驳回诉讼，判定银行虽然在安全方面上的防护手段仍然不够理想，但是企业由于受Zeus木马攻击而被盗取资金，其责任并不应该由银行来负。许多有同样损失的小企业抱怨该案例是21世纪美国银行监管制度的彻底失败，是非正义的，但无论如何，它也提醒了人们，必须采取有效的措施保护自己的银行账户，否则，一旦被盗，没有任何人将为你的损失负责。

感染：如何保护自己

大多数情况下，被ZeuS和Spy Eye木马感染的用户都是通过下载的程序感染的，这些程序大部分是被有意植入木马并散布到网上的。不过，如果用户的系统存在可以被利用的漏洞，或者浏览器中的QuickTime、Flash或PDF插件存在缺陷，那么ZeuS和Spy Eye同样也能够直接侵入系统。

进入用户的电脑后，木马将隐藏在进程中并驻留在内存里，在电脑连接网络时向控制服务器发送信息，等待控制服务器的指令。而当用户打开一个银行网站时，木马将开始截取数据，或者修改网上银行站点返回的网页数据，从中添加用于骗取用户银行账户的输入框，并将获得的银行账户和信用卡资料等信息发送到控制服务器。

由于ZeuS和Spy Eye千变万化，不同的变种运行方式有比较大的差异。因而，大部分用户在电脑感染了ZeuS和Spy Eye木马之后，为了有效地清除病毒，都选择了彻底重新安装系统。但实际上，使用专业的工具软件进行检测和清理，也是一个不错的方法，例如使用Gmer（www.省略）。不过，需要注意，在开始检测之前拔出网线和关闭无线网络，关闭包括防火墙等安全软件在内的所有程序，尽可能地降低检测过程中的干扰。

注意：Vista和Windows 7的用户运行Gmer需要右击选择“以管理员身份运行”。在使用Gmer检测和清除木马之后，要及时地重新打开防火墙等安全软件，并采取措施提高系统的安全性，避免系统再次被感染。老生常谈的安全措施对你来说依然是有帮助的：总是使用最新的浏览器上网，及时更新操作系统、安全软件以及Flash等常用软件，确保所有已知的漏洞在第一时间得到修补。