病毒編寫者開設了若干個假冒的「偷拍電影」網站,當被騙的用戶登陸這些網站後,會被提示「觀看本站的電影必須安裝新編碼器」,進而被誘騙下載所謂的「編碼器」。事實上,這個「編碼器」就是病毒,用戶下載並運行之後就會被感染,當被感染用戶再次使用招行的網上銀行業務時,用戶帳號、密碼和數字證書就會被竊取併發向病毒編寫者的信箱。
「快樂耳朵」病毒會在用戶電腦上搜索電子郵件地址,向外大量發送垃圾郵件,郵件題目是「快來看看我的偷拍作品」,誘惑更多用戶登陸病毒作者建立的病毒網站。同時,許多網上論壇也出現類似的帖子,欺騙網友登陸病毒網站。
從9月1日早上開始,瑞星技術服務部門陸續收到若干用戶的求助,用戶反應登陸某些不良網站之後,自己的電腦開始出現異常。瑞星技術人員確認,其中部分用戶已經被「快樂耳朵」病毒感染。瑞星工程師鄭重警告使用招行網路銀行個人版的用戶,千萬不要登陸來歷不明的不良網站,並為了看到某些「刺激內容」而下載所謂的「編碼器」。
瑞星反病毒部門負責人蔡駿介紹說,以往類似的木馬病毒一般只盜竊用戶的賬號和密碼,攻擊者利用偷竊的資料登陸網路銀行的大眾版,只能瀏覽用戶賬號資料而不能進行轉賬、消費等操作。而招商銀行個人銀行專業版提供了相當強大的功能,可以在網上進行轉賬、網路消費、金融理財等。
瑞星反病毒專家表示,這兩個病毒的出現,並不意味著招行的網路銀行系統存在漏洞,主要是通過欺騙用戶登陸不良網站來侵入用戶的電腦,從而竊取用戶的銀行資料。獲得這些資料之後,病毒編寫者可以通過網上轉帳和消費等方式,盜取用戶的資金。
在截獲惡性病毒「快樂耳朵」及其變種兩小時後,瑞星殺毒軟體已經完成緊急升級,版本號16.42.11以上的瑞星殺毒軟體可以徹底清除這兩個病毒,用戶還可以隨時撥打瑞星反病毒急救電話:010-82678800來尋求幫助。