中华网络安全联盟    来源：北京娱乐信报    时间：2006-9-7

　　上个月，百名网银被窃用户集体状告某大国有银行一事尚未有个说法，上周，又有读者杜先生致电本报向记者反映：“刚才某某银行通知我说，我的信用卡昨天通过网上支付在境外消费了2万美元，可我昨天根本就没在网上购买过任何东西，我赶紧找银行挂失、投诉，他们说，这件事还要等过几天向美国那边核实后才能知道结果。我想我肯定是被人通过网上支付在境外盗刷的。”随后，记者拨打了该行的客服电话证实了此事。
 
 
　　为了回答读者关于网上支付到底安全不安全，黑客到底是如何进行“偷窃”的，上周五，记者采访到一位出道10余年的“骨灰级”(指极其资深者)国内黑客。他告诉记者，杜先生信用卡账号及密码被盗的最大原因是其电脑中被植入了“木马”程序(病毒)，在他进行网上支付时账号与密码一起被窃走。随后，他还为记者模拟演示了黑客设置木马、蠕虫、僵尸程序发起攻击的全过程。

　　由于按照国家相关规定，无法以互联网上的真实用户作为攻击对象，仅是在内部电脑上进行了模拟演示，但即便如此，一种神秘而紧张的气氛也围绕着整个演示过程。由于这些攻击大部分是非显性的，同时也为防止个别人恶意模仿，记者仅将采访中了解到的部分情节及病毒程序编写的部分页面截屏后呈现给大家。

　　【现场目击】

　　木马攻击一招比一招狠

　　采访对象小白在演示中用了一个目前最低端的木马制作软件软件来制作网页木马并进行挂马(安装木马程序)。首先要配置好一个木马服务端，然后生成服务端，假设生成的木马服务端为mm.exe，接着打开软件选择mm.exe 然后点生成，就会在相同目录下自动生成一个mm.chm和mm.htm注意：这几个文件可不要轻易去点)。接着就把mm.chm和mm.htm传到自己的空间。然后要应用到另外一个软件html网页加密程序，选择源文件为mm.htm目标文件m.htm然后点加密，程序就会在mm.htm目录下生成一个用avascript加密后的m.htm，然后传到肉鸡(指被感染电脑)或空间里去。在本机测试看：http://127.0.0.1/m.htm就是网页木马地址了，只要把这个发给别人，对方浏览了就会中木马。但这个还属于被动的一种，需要你接收，然后打开。还有一种更强硬的方式：入侵挂马，直接入侵知名网站挂马，不用接受，不知不觉中就会中招。小白介绍说，自己最多时成功俘虏了2万多台僵尸电脑，今年曾用来对某一非盈利性网站发起过攻击，导致该网站瘫痪达29个小时。

　　【专家支招】

　　4招提升网上支付安全性

　　一位安全行业专家向记者详细解读了如何加强防御病毒入侵的方法及网银安全的防护法。

　　1.长时间没对防病毒软件升级、没有安装防病毒软件或对自己的计算机疑虑的用户，建议先卸载掉所有的非基础应用程序，再进行自查。如在进程及注册表中发现异常程序，可以先将进程结束再把注册表中相应的程序删除。若要进行此操作，最好拨打所购买杀毒软件厂商的客服电话，并在工程师的指导下进行。

　　2.及时更新WINDOWS系统补丁、升级，杀毒软件要保持定期更新病毒库特征码(可设为联网自动更新)。

　　3.注意不要轻易打开不熟悉的邮件附件，特别是带有附件的邮件要谨慎处理。开启杀毒软件对邮件的监控功能，使用杀毒软件对邮件及其病毒进行清查，确认没有问题后再打开附件，如有疑问建议将邮件直接删除。而对于那种直接隐藏在邮件页面里的病毒，判断方法是：如果邮件不带附件，那么正常的邮件应该是在2K-20K之间，除了长篇大论的情书及悔过书外。一般加载了病毒控件的页面都在几十K以上。

　　4.用户应当使用Windows　Update及时修补操作系统和应用软件存在的漏洞，对于不常使用的端口进行过滤或关闭。同时，不要随便到网上下载程序和文件。

　　郭先生表示，实际上互联网作为一个开放的平台，是没有绝对的安全可言的。但是，只要安全保障措施做的够好，网民们还是可以享受这项快捷的服务方式的。如果有查询、转账、买外汇等需求，建议：首先，要使用U盾等USB网银加密工具；其次，还是要注意升级、更新杀毒软件；再次，加强对钓鱼网站的识别；又次，一定不要在公用电脑及网吧使用网银；最后，使用信用卡进行网上支付时，一定不要把卡背面的7位数检查码(非授权码)透露出去。

僵尸网络控制截屏。黑客只要在图中弹出的对话框内发出攻击指令再回车即可发起攻击

　　【黑招曝光】

　　木马种植

　　特点：通过在被感染的计算机的程序中开后门即暗道，平时潜伏着，只有当你打开了被监控的相关网页时才会开启。目前，对网上支付造成威胁最大的就是这类病毒程序。

　　危险指数：★★★★★

　　隐蔽指数：★★★★★

　　中毒症状：只有“传奇木马”是最显性的一类，中毒后机器会明显出现运行速度变慢。其他种类具有良好的潜伏能力，对于不具备专业知识的普通用户有些难以觉察的症状，增加新的进程、修改注册表、开放某个端口。然而，木马在进入计算机后，在修改机器的注册表时会出现IM(QQ、MSN、雅虎通等)自动随机启动的症状。

　　自查方法：在未安装或更新杀毒软件的前提下，抓出“小偷”的方法是自查计算机进程，如果一台装有WINDOWS XP的计算机没有安装太多的应用程序，那么其正常“进程”里显示的运行程序应该是十几项(仅装有XP、WORD等基础应用软件)。同样，你还可以点击“开始”打开“运行”框，输入“regedit”回车，再点开“查找”一栏，输入“run”回车即可查看注册表信息，正常的应该与“进程”显示一样。

　　“僵尸”入侵

　　特点：这是近一两年来比较盛行的黑客攻击手段，其实，僵尸也可以理解为木马。是黑客针对网络用户，尤其是宽带用户发起的攻击。它以HTTP包、垃圾邮件、某种程序的包(大容量)传播，被种入程序的电脑被称为僵尸电脑。黑客并不是时刻盯着主机干活，他们平时潜伏着，只在一定时间内发起一次攻击。攻击时通过集中所有在线的僵尸电脑，同时向被攻击网站发送大容量的程序包以损耗其网络带宽，从而使其无法承受超负荷运转而瘫痪。

　　危险指数：★★★★★

　　隐蔽指数：★★★★★

　　中毒症状：“僵尸网络”与“木马”一样具有很强的隐蔽性，不会占用系统资源，也不会破坏电脑数据，用户常常毫不知情，就仿佛僵尸一般被黑客操控随时备用。

　　自查方法：如上。

　　“蠕虫”

　　特点：蠕虫也是一种病毒，因此具有病毒的共同特征。病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。其传染目标是互联网内的所有计算机、局域网条件下的共享文件夹、电子邮件(E-mail)、网络中的恶意网页、大量存在着漏洞的服务器等。现在通过网络，蠕虫病毒可以在几个小时内蔓延至全球。

　　危险指数：★★★★★

　　隐蔽指数：★

　　中毒症状：在三类病毒程序里，这是惟一比较显性的侵害。电脑一旦中了蠕虫，运行会突然变慢、图片文件或WORD文档打不开，严重的甚至无法启动IE而上不了网。中毒的电脑将会自动对外发送HTTP包邮件给自己的邮件列表人，而不自知。

　　自查方法：如上。