南方网讯　安全研究人员于周二(6月29日)警告称，一种通过恶意弹出式窗口安装的特洛伊木马软件，该软件能够从用户的计算机上获得正常情况下加密的财务资料。

　　互联网风暴中心的主管马库斯表示，当被感染PC的用户登录在该特洛伊木马软件“黑名单”上的近50家财务网站之一时━━其中包括Citibank、Barclays和德意志银行，该特洛伊木马软件能够获得用户输入的任何帐户名和密码。马库斯说，如果识别出用户正在访问这些网站，它就会记录用户的击键情况。尽管所有的财务网站都使用了浏览器内置的加密技术来保护用户的登录资料，但该特洛伊木马软件能够在这些数据被浏览器加密前获得它们。他指出，浏览器不会对键盘和计算机之间的数据进行加密，只有在发送数据时才加密。

　　马库斯说，该特洛伊木马软件是首先在一家大.com公司的员工的计算机上被发现的，他的计算机是通过恶意的弹出式广告特洛伊木马软件感染的，特洛伊木马软件利用了IE“帮助中心”中的一个缺陷将自己安装到用户的PC上。由于他的计算机的安全性较高，特洛伊木马软件没有将自己安装到PC上。微软公司表示，在它发布补丁软件前，用户应当将“安全设置”设置为高。

　　互联网风暴中心的研究人员对这一名为img1big.gif的特洛伊木马文件进行了研究。研究人员在周末也没有休息，他们使用反工程方法发现，它针对一长串银行，试图窃取这些金融机构的客户的资料。

　　这一特洛伊木马软件表明了计算机病毒和远程特洛伊木马软件最近的趋势：黑客的目标越来越是钱了。安全专家在4月份就警告称，“bot网络”━━由受控制的PEPC组成的大规模网络，是比“震荡波”“冲击波”等蠕虫病毒更大的威胁，因为它们可以被用来窃取财务资料或发送大量不右跟踪的垃圾邮件。

　　反病毒厂商赛门铁克公司安全响应中心的高级经理奥利弗表示，过去，最常见的收集财务资料的方法是欺诈。他说，在过去的数月中，赛门铁克公司的研究人员研究了与这一特洛伊木马软件相类似的恶意代码。

　　尽管这一特洛伊木马软件象是一个采用.GIF格式存储的图像文件，但实际上其中包含有二个软件：在宿主计算机上安装其它软件的“文件进入者”以及秘密地窃取用户名和口令的浏览器帮助文件。马库斯说，第一个文件尝试利用一个过去的IE缺陷运行它自己，第二个文件将使用浏览器助手文件截取数据。他表示，在进入浏览器之前，这些数据可以被助手文件处理，这一特洛伊木马软件真正聪明的地方就在于，它利用了所有浏览器都能够使用助手文件的能力，破坏了系统的加密功能。

　　马库斯表示，一旦该特洛伊木马软件获得财务资料，它就会使用托管在一台互联网服务器上的一个软件对资料进行加密，然后将资料发回给黑客，这名黑客好象在南美洲地区。

　　马库斯指出，尽管该特洛伊木马软件是被安装在有缺陷的Windows计算机上的，但被黑客利用的助手文件是一项功能，而非缺陷，该特洛伊木马软件能够在大多数浏览器中得逞。他说，有时候功能和缺陷之间的差别并不是很大。

编辑：林洁珊