本来想通过余额宝尝试理财的朱先生,却没想到自己辛辛苦苦工作一个月的薪水竟然“不翼而飞”。9月18日凌晨,腾讯电脑管家安全团队截获一个网银大盗木马最新变种“弼马温”,该木马通过色情网站进行广泛传播,并通过云端数据自动更新配置获利账号,可以在用户毫无感知情况下对用户网银支付或充值行为进行劫持。
腾讯电脑管家安全实验室反病毒工程师朱科锭介绍,“弼马温”木马能够毫无痕迹的修改支付界面,使用户根本无法察觉。根据统计,目前已感染“弼马温”的网民有50万,是历史上感染量最大的网银木马,其中广东省中招的用户最多,将近4万多人中招,如果按照2%感染用户且使用网银来计算的话,每感染100个用户木马作者就至少有1800块的收入,按照全国50万的感染人数进行统计则预计最低收入接近千万。
遭“弼马温” 网银大盗劫持7000元工资不翼而飞
据朱先生介绍,由于网络理财的取出便捷,且收益以天为单位计算,因此他平时都会将工资存入全部存入余额宝中,需要时再取出消费。然而当将这个月工资转账到余额宝时,朱先生却发现本应转入余额宝的7000多元的工资款,竟然不翼而飞。
发现工资不见的朱先生马上致电余额宝客服,对方表示并没有收到相关款项。之后意识到可能被钓鱼的朱先生进行了报警,并通过微博私信寻求腾讯电脑管家的帮助。
经过腾讯电脑管家安全团队追踪分析发现,导致朱先生余额宝损失的元凶,原来是一个网银大盗木马的最新变种。
据腾讯电脑管家安全实验室反病毒工程师朱科锭介绍:此网银大盗变种主要通过视频站点进行传播,伪装在播放器中,当用户下载安装播放器之后病毒也随之启动并在用户电脑上常驻。在分析之后我们发现传播该木马的视频站点不止一个,是一个有规模的传播联盟,可以在短时间内对木马进行大范围的传播,达到最大的危害。
在这条黑色产业链中木马的制作团队和木马的买家成为核心角色,制作团队会负责木马的持续更新和与安全软件的对抗,并根据买家需求进行功能调整。买家购买木马之后需要找到量商,也就是有传播渠道的人付费进行木马的推广,并按照推广量计费。被盗取的钱会被直接冲到木马买家指定的充值平台上,盛大、银联、安付宝、支付宝等网银平台均在木马攻击范围。
木马可以通过云端控制,直接指定自己的获利账号及对应平台。盗取成功之后木马买家会收到通知并登陆相应账号对盗取的钱进行消费,他们会选择游戏点卡平台进行消费,因为这是一个洗钱的好渠道,盗取的钱可以在这类平台中快速的完成“钱--点卡--钱”的转换,当然点卡购买平台会在这个过程中收取手续费,最终这笔钱回到了木马买家的银行卡上,并且因为中间有游戏点卡作为中转中介,使得对这笔钱的追查非常困难,点卡平台也就在客观上被充当洗钱工具。
或已致50万网民感染,广东中招最多
根据腾讯电脑管家监测中心数据,全国广东、北京是本次木马感染最严重的地区,其次为江苏,浙江,上海,山东,湖南等地区,西部地区感染量比较低,全国所有地区都有拦截记录。第一个感染的用户来自于上海地区。
据了解,劫持朱先生工资的“弼马温”木马不同于过去的不法分子冒充网上卖家对客户进行诈骗的“一对一”模式,而是通过将“弼马温”伪装视频网站播放器,诱骗网民下载进而进行大范围传播。
朱科锭表示,“弼马温”木马能够在用户无感知情况下篡改支付界面,大大提高劫持成功几率。根据统计,目前已感染“弼马温”的网民或已超过50万,是历史上感染量最大的网银木马。目前腾讯电脑管家已经可以查杀防御该木马。
(“网银大盗”全国感染分布(由腾讯电脑管家监测提供))