從360安全大腦捕獲到的攻擊活動和溯源分析，此次Gozi銀行木馬攻擊的主要手法就是通過文件中的惡意巨集程式碼下載執行病毒。當外貿、金融行業的白領像往常一樣開啟郵件附件中的檔案並啟用巨集時，釣魚文件就開始向計算機釋放Gozi銀行木馬和Pushdo垃圾郵件投遞器，白領電腦中儲存的銀行帳戶、瀏覽器憑證等敏感資訊都將被竊取一空，同時由於Pushdo垃圾郵件投遞器的存在，這臺中招的電腦還將成為傳播病毒的“殭屍機”，與白領有郵件業務往來的使用者，都可能慘遭病毒入侵，這也是Gozi銀行木馬能夠迅速在全球肆虐的原因之一。

圖2 Gozi木馬攻擊計算機的程式樹

扒皮Gozi黑歷史，感染全球百萬電腦  開發黑客被判95年監禁

說起Gozi銀行木馬的黑歷史，可以追溯到2007年，它被認為是迄今為止發現存在時間最長的銀行木馬之一。在過去的十餘年裡，Gozi銀行木馬威脅從未消散，雖攻擊目標主要為各國的大型銀行，程式碼卻一直更新迭代，像野火燒不盡一般，多次上演安全威脅。值得注意的是，Gozi發展歷程中曾多次洩露其原始碼，這使得Gozi程式碼庫中的強大功能早已被整合到其他惡意軟體中，曾導致北美銀行被盜數百萬美元的木馬病毒GozNym，就與Gozi脫不開干係。

病毒肆虐臭名昭著，開發Gozi的黑客還因其被判95年監禁。2013年，俄羅斯三名黑客被指控利用Gozi銀行木馬感染全球超百萬臺計算機，因涉嫌陰謀、銀行欺詐、開發Gozi軟體入侵電腦並把這種軟體賣給黑客，盜取銀行賬戶存款等多項罪名，其中一人更陷入高達95年的牢獄懲戒，直接創下了黑客刑期的最高紀錄，足可見Gozi銀行木馬威脅的嚴重性。

作為全球最大的分散式智慧安全系統，360安全大腦一直持續監測各類高危病毒。針對近日抬頭的Gozi銀行木馬，360安全大腦提醒廣大企業使用者和個人做好防護，並給出如下安全建議：

1、切記不要輕易點選陌生郵件，更不要隨意點選下載不明來源的附件；

2、企業郵件伺服器可嘗試部署郵件安全閘道器、升級安全策略，將此類郵件拉入垃圾郵件黑名單等措施實施防禦；

3、提高安全管理意識，及時為系統和應用軟體打補丁，關閉不必要的埠和共享檔案；

4、前往weishi.360.cn，安裝並開啟360安全衛士的郵件保護功能，能夠在第一時間攔截和查殺該木馬。