国内资深黑客详谈Trojan-PSW盗号木马

　　近日在QQ上广泛传播地一段回答问题得到q币中奖消息中所包含的恶意链接，访问该链接将导致用户电脑感染多种木马程序，经过仔细分析这些木马几乎都归于一类——Trojan-PSW木马！

　　一、Trojan-PSW木马的定义

　　近年来，网络犯罪和破坏更加趋向于能够给攻击者带来直接或间接的经济利益，像之前对纯技术的追求已经不那么明显，而随着黑客技术和黑客工具的普及，使得网络犯罪与破坏的技术门槛降低，许多不法分子利用这些技术进行非法牟利，其中最突出的表现就是Trojan-PSW木马的大肆传播。

　　在用户不注意的情况下，将木马程序植入用户电脑，自动获取预先指定好的、木马所有者所感兴趣的用户敏感信息资料，并通过木马程序将非法窃取的资料发送给木马所有者，这样的木马程序通常盗取银行帐号、网络游戏帐号、信用卡卡号等以及对应密码，因此被归类于Trojan-PSW木马。

　　Trojan-PSW木马是随着网络发展而出现的，当人们感受到计算机以及互联网给日常生活带来的便利后，开始倾向于将一些敏感的信息存储在电脑上或者通过电脑进入互联网发送这些信息，这样就给了不法份子进行“网络盗窃”的条件。他们开始设计一种恶意程序，并通过各种各样的方式植入用户电脑，从中搜索自己需要的资料或者直接截取到用户输入的信息，记录下来后转发给自己，然后利用盗取的资料从事非法牟取暴利活动。此类木马往往不需要太多的技术含量，可能利用一些系统漏洞进入用户系统，不过大多数情况下，是通过诱骗用户点击某个网站链接，或者直接通过即时聊天工具发送木马程序给用户，当用户运行木马程序或者访问过恶意链接后就会间接感染该木马。

　　二、Trojan-PSW木马的特点

　　Trojan-PSW木马在网络上已经出现了好几年，而且引发的安全事件以及犯罪行为都在不断增加，其破坏不容小觑。

　　究竟该类木马如何植入用户电脑？

　　如何在用户电脑中获取到敏感信息呢？

　　究竟木马作者所感兴趣的敏感信息有哪些？

　　当获取到信息后，又是如何将信息发送给木马所有者呢？

　　下面就是总结出的一些Trojan-PSW木马特点：

　　1.利用“社会工程学”等手段侵入用户电脑

　　木马相对于蠕虫来说，缺乏主动传播性，木马的所有传播行为都是有人为参与，而不像蠕虫那样不需要人工干预，可以自发地搜索可感染目标。再有木马比较有针对性，通常是种一对一或者一对多的入侵行为，而蠕虫是一种无法预测、不能控制的多对多的入侵。

　　由于木马的这样特点，使得木马的传播与其他病毒有一定的区别，但大多都利用了一些“社会工程学”的技巧：

　　（1）利用系统漏洞直接传播

　　用户电脑本身存在系统漏洞，如操作系统漏洞或者是IE浏览器漏洞等，都可以被不法分子利用，直接将木马程序复制或者下载到用户电脑并进行安装。

　　（2）利用即时聊天工具诱惑传播

　　据统计，这种传播方式最为有效，也是木马所有者惯用伎俩，即时聊天工具的普及给了他们传播木马程序的媒介，且利用了人们的好奇、贪小便宜的心理以及对好友不设防的薄弱思想，通过发送一段具有诱惑性内容的消息，附带一个链接，诱使用户点击访问。一旦访问，就会自动将木马程序下载到用户机器并运行起来。

　　（3）利用网站、论坛欺骗传播

　　木马程序所有者通常会在一些音乐网站或者知名论坛发布一些虚假消息，如一些小工具、恶意网站地址，欺骗用户说可以获取何种利益，其中就安放了一些木马程序，等待用户下载运行。

　　（4）利用电子邮件强行传播

　　木马所有者发送附带木马程序的电子邮件，邮件主题比较吸引人，使用户浏览附件，从而感染木马。

　　2.窃取敏感资料的方法

　　木马程序成千上万，但其窃取资料的手段大致可以归类为以下几条：

　　（1）搜索文件

　　通常重要的信息可能存在几类文件中，比如.txt文本、.doc文档、.xls表格等等，那么木马作者可能就会让木马程序自动搜索用户电脑上可能记录了关键信息的文件，从中获取字符串，并记录在自己的日志文件里；此外窃取密码的木马针对性比较强，如针对于某一个网络游戏、某一种商业软件，其记录关键信息的位置往往也固定于一些文件之中，通过遍历文件，搜索其中关键字符，也同样能够获取到有用信息。

　　（2）键盘截取

　　这类木马功能较为简单，不针对各类文件，而直接针对于用户输入信息的关键设备——键盘。木马运行后，会将用户敲击键盘的顺序和内容记录下来，存为一个文本，其中可能就包括了用户的一些常用的帐号和密码，成功率也比较高。

　　（3）检测有效窗口

　　当木马检测到某个程序的窗口为当前有效窗口时，其会启动记录功能，将用户输入到窗口的信息完整记录下来，例如检测传奇客户端窗口。

　　（4）查找cookie信息

　　用户在登陆一些网页时会产生一些cookie信息，其中可能包含了一些像用户名及密码一类的关键信息，木马程序会读取cookie文件，从而获得有效信息。

　　3.窃取信息的种类

　　前面提到Trojan-PSW木马的使用通常为了获取非法的经济利益，这些经济利益的来源就是木马做窃取到的重要信息资料，安天CERT整理近几年Trojan-PSW木马所涉及到的敏感信息资料：

　　（1）网络银行类

　　像工商银行、交通银行、商业银行、招商银行、农业银行、中国银行等指明国内银行的帐号密码以及信用卡等业务的相关资料。

　　国外的情况也类似，主要设计到集中信用卡的信息窃取，如Visa、MasterCard等。