今天有用户打电话来，抱怨说他刚从光大证券官方网站上下载的交易系统被报病毒了，用户怀疑这是一次误报。问题反映到我这，上网看了看，发现我们并没有误报。光大证券阳光网（http://www.ebscn.com）应该是被黑了。下载页面上提供的所有软件安装程序都捆绑了木马，包括“光大证券新版网上交易系统”、“光大证券专业分析版2003”、“光大证券金典2005”等。用户运行这些安装程序的同时，会下载网银木马，威胁用户工商银行网上银行的帐号密码安全。
    被捆绑的是一个仅有2560字节的木马下载器newup.exe，和正常安装程序一起打成了CAB自解压包。newup.exe运行后将自动下载执行http://www.szbg.org/svchost.exe。后者是网银木马，会监视IE浏览器正在访问的网页，如果发现用户正在登录工行个人银行，就会弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码，通过邮件将窃取的信息发送出去。江民公司网站曾经在6月对这个网银木马稍老的变种进行过报导，文章链接是：http://www.jiangmin.com/News/jiangmin/index/important/2006628141720.htm
    根据光大证券HTTP服务器返回的信息，这些恶意安装程序是2006年8月18日上线的。如果你曾在8月18日以后从光大证券网站下载安装过软件，请您务必使用杀毒软件进行全面查毒，以免网上银行帐号密码被盗。KV系列杀毒软件8月19日后病毒库即可查杀上述所有木马。

Update 2006-08-28:

光大证券下载页面的带毒安装程序已经被替换成无毒的了。