奇虎：07年上半年中国互联网不安全报告

第二章木马盗号对用户造成的损失

目前绝大多数盗号行为是通过侵入到用户计算机系统的木马类程序完成的。木马程序给用户造成的损害是显而易见的：

l 记录用户的键盘输入，盗取用户的网游、网银、聊天软件帐号，造成用户财产损失；

l 通过注入网游、网银、聊天软件以及浏览器，对用户行为进行监控，窃取并传输用户隐私资料；

l 占用更多的系统和网络资源，甚至造成正常使用电脑和上网；

即时通信、网络游戏、网上银行和网上炒股等应用所覆盖的用户群规模非常庞大。根据CNNIC于2007年7月18日发布的《第20次中国互联网络发展状况统计报告》，在中国的1.62亿网民中：

l 69.8%的用户（超过1亿用户）在使用即时通信软件（以腾讯QQ和MSN为主）；

l 47%的用户（超过7600万用户）玩过网络游戏；

l 20%的用户（超过3200万用户）使用网上银行和网上炒股；

因此，这几类互联网应用，成为黑客、木马制作者等不法分子攻击的主要目标。

(一) 即时通讯行业

根据360安全论坛（bbs.360safe.com）中由5366名网友参与的调查统计表明，有66.27%的用户丢失过QQ帐号。

由于QQ帐号中的QQ币、QQ秀等虚拟物品通过交易具有经济价值，以及QQ本身巨大的用户群、QQ软件本身的安全缺陷，使得QQ本身成为木马类软件攻击盗号的主要目标以及传播的主要途径：

1) 好的QQ号、Q币、QQ秀等都可以通过C2C平台或某些专业网站进行交易，因此QQ帐号本身是木马盗号的主要目标。有许多专门针对QQ的盗号木马，通过注入QQ的程序进程、挂接键盘钩子窃取用户键盘输入、读取QQ进程内存等手段窃取QQ帐号。

2) 很多QQ木马一旦侵入系统，就会自动向好友列表中的其他用户传送病毒或木马文件，发送广告消息等，从而传播并侵入到其他用户电脑中。

3) 木马会利用QQ向其他用户自动发送诱惑性的消息，诱使其他用户点击消息中的网页链接，而这些网页链接要么是含有恶意网页，通过恶意脚本在其他用户电脑中植入木马，要么是钓鱼网页，试图直接骗取用户的网银帐号、支付宝帐号、网游帐号等。

4) 木马程序还可以截获用户在QQ中的聊天消息，如果用户通过QQ发送信用卡信息、银行账户等敏感信息，就极有可能被木马程序窃取。

5) 虽然QQ本身提供了QQ医生的功能，会在QQ登录时自动扫描电脑中的木马程序，但是由于QQ医生这样的木马查杀工具无法与专业的安全厂商一样具有对大量的 木马程序广泛的采集、监控和分析能力，以及现有木马查杀技术本身的局限性，导致QQ医生目前并不能有效保护用户的帐号安全。

(二) 网络游戏

根据360安全论坛（bbs.360safe.com）中由370名网友参与的调查统计表明，也有65.47%的用户丢失过网游帐号。因为丢失网游帐号导致用户跳楼或到游戏公司门口自焚等极端事件也屡见于报端，网游盗号已经成为影响网游应用健康发展的重要障碍。

针对网游盗号的问题，部分网游厂商采取了一些针对性的措施，例如：

1) 部分网游会自行研发一些反木马工具，或者采用第三方的反外挂软件来防止外挂程序，兼防止木马盗号。目前国内多数具有一定安全机制的网游采用的是韩国的著名 反外挂软件NP（NProtect），NP具有防止DLL注入、反调试、防止与未授权服务器通信等功能，但是由于NP软件的源码在2007年初被泄露，其 后续版本在功能上也没有太多改变，这就给中国大量制作外挂程序和盗号木马的人提供了便利，使得能够突破NP保护的木马也在不断出现。

2) 使用口令密码保护方法，例如盛大密保，魔兽游戏的矩阵式口令卡等。这种方式比单纯的软件口令保护要更安全一些，提高了木马程序盗号的难度。但是仍然有木马 程序能够破解，例如最近出现的可以破解魔兽矩阵口令卡的木马程序。另外，使用U盘等独立硬件方式的密保，由于成本的问题，也并非所有用户都在使用。所以实 际上大量用户仍然面临盗号的巨大风险。

（三）网上银行和网上炒股

银行排队难成为一个突出的社会问题，为了解决这个问题，众多商业银行一直在推行网上银行业务。但是由于各个银行不具备足够的安全技术方面的基础，使得用户网银帐号被盗，资金被转走，蒙受巨大经济损失的案件不断见于报端。

1) 网上银行和网上支付平台的安全问题

目前各银行的网银业务（包括很多第三方支付平台，例如支付宝），很多只是提供了基于IE浏览 器的操作方式（仅有招商银行提供专业版的网银客户端软件），并要求用户安装一个安全输入控件，以保护在浏览器输入的帐号信息不被窃取。但是这种安全手段是 较为低级的，很容易被木马程序破解。

为了进一步增强网银安全性，不少银行开始推行基于移动介质的数字证书（一个特殊的存储用户帐 号认证信息的加密文件），例如工行U盾、招行优Key等。这种方式要求用户平时不能把数字证书存储在电脑本机中，而是存储在移动介质（例如U盘）中，同时 在登录网银时，网银服务器和用户电脑之间会传送数字证书，利用基于PKI的密钥机制来验证数字证书文件的有效性，只有通过验证才允许用户登录。有了数字证 书，即使用户的用户名和口令被盗，但是如果盗窃者没有用户的数字证书的话，也是无法登录网银的。另外，即使盗窃者连数字证书文件也拿到了，由于在另一台电 脑上导入数字证书时，网银服务器也会问用户事先设定的一系列验证问题，只有回答正确才能导入成功，这也加大了盗窃的难度。

但是数字证书的方法也并非完美。一方面移动数字证书有成本，不少用户不愿意去买。另外，如果 用户的电脑上有黑客或后门类的木马程序，并且已经窃取了用户的网银帐号用户名和口令，盗窃者就可以远程操纵用户电脑，运行用户的网银客户端，输入窃取来的 用户名和口令，就能登录用户的网银了，这和用户本人操作完全无法分别，而且这些远程操纵可以做到非常隐蔽，难以被用户发觉。

2) 网上炒股的安全问题

据统计中国目前有超过1亿的股民，其中多数为新入市的股民，其中有不少于20%的股民在网上炒股。这些新股民缺乏必要的安全意识和技术手段，也成为盗号木马攻击的目标。

一旦被木马程序侵入电脑，股民们将会面临巨大的财产损失风险：

a) 不少股民在网上炒股时，其证券帐号与银行资金帐号往往使用相同的用户名和口令，所以一旦木马程序从炒股软件中窃取了用户帐号，就能通过网上银行去窃取用户银行帐号中的资金。

b) 在券商提供的炒股下单软件中，也会包含一定的安全保护模块。但同样由于技术的专业性不够，无法提供持续有效的安全保护。

c) 虽然炒股下单软件中，用户的证券帐号与银行资金帐号是绑定的（资金只能在用户自己的证券账户与银行账户间互转），但是盗窃者一旦窃取了用户炒股软件的账 户，就可以通过股票的买卖操作使自己获利，同时使用户蒙受损失。例如盗窃者可以用一个明显超出市场价位的价格（例如涨停价）卖出某只股票，然后通过木马程 序操纵某些股民的炒股软件去买入这只股票，这样盗窃者就可以获取巨额收益，而股民们则蒙受重大损失。