9月1日上午,瑞星全球反病毒监测网率先截获专门针对招商个人版网上业务的木马病毒及其变种,并命名为“快乐耳朵(Trojan.Happyear.a)”和“快乐耳朵变种B(Trojan.Happyear.b)病毒,病毒编写者的惟一意图就是窃取招行用户的网上资料,进而窃取用户的资金。
病毒编写者开设了若干个假冒的“偷拍电影”网站,当被骗的用户登录这些网站后,会被提示“观看本站的电影必须安装新编码器”,进而被诱骗下载所谓的“编码器”。事实上,这个“编码器”就是病毒,用户下载并运行之后就会被感染,当被感染用户再次使用招行的网上业务时,用户账号、密码和数字证书就会被窃取并发向病毒编写者的信箱。
“快乐耳朵”病毒会在用户电脑上搜索电子邮件地址,向外大量发送垃圾邮件,邮件题目是“快来看看我的偷拍作品”,诱惑更多用户登录病毒作者建立的病毒网站。同时,许多网上论坛也出现类似的帖子,欺骗网友登录病毒网站。
从9月1日早上开始,瑞星技术服务部门陆续收到若干用户的求助,用户反应登录某些不良网站之后,自己的电脑开始出现异常。瑞星技术人员确认,其中部分用户已经被“快乐耳朵”病毒感染。瑞星工程师郑重警告使用招行网络个人版的用户,千万不要登录来历不明的不良网站,并为了看到某些“刺激内容”而下载所谓的“编码器”。
瑞星反病毒部门负责人蔡骏介绍说,以往类似的木马病毒一般只盗窃用户的账号和密码,攻击者利用偷窃的资料登录网络的大众版,只能浏览用户账号资料而不能进行转账、消费等操作。而招商个人专业版提供了相当强大的功能,可以在网上进行转账、网络消费、金融理财等。
瑞星反病毒专家表示,这两个病毒的出现,并不意味着招行的网络系统存在漏洞,主要是通过欺骗用户登录不良网站来侵入用户的电脑,从而窃取用户的资料。获得这些资料之后,病毒编写者可以通过网上转帐和消费等方式,盗取用户的资金。