偷天換日—淘寶木馬的那點伎倆
?超級巡警團隊近日監測到壹款名為Trojan-PSW.Win32.Alipay.it(寶貝詳情. rar )的 支付寶 木馬 尤為活躍,攻擊者通常通過IM 聊天 工具對該木馬進行傳播,該木馬本身並不具有攻擊性,可是壹旦用戶運行此木馬,木馬便會在後臺釋放 支付 寶 監控 程序,監控程序便會壹直監視支付寶用戶的 交易 情況,偷換支付頁面,竊取用戶交易資金。
以下為超級巡警 安全 中心對該木馬的詳細 分析 :
攻擊者偽裝成淘寶賣家,給用戶發送“寶貝詳情”的 壓縮 包文件,該文件實際為 病毒 母體,並且采用了近日十分流行的數據冗余法,對 殺毒軟件 的雲查殺進行 逃脫 ,壹般的雲查殺根本無法識別該木馬。
圖壹(釋放前) 圖二(釋放後)
當用戶執行壓縮包中的文件後,隨即便會在在%SystemRoot%目錄下創建名為Helpchm.exe的木馬攻擊程序(Helpchm.exe)。
圖三(釋放木馬攻擊程序)
修改 註冊表 ,添加Helpchm.exe到啟動項中。
圖四(添加啟動項)
執行真實的攻擊程序。
圖五(執行攻擊程序)
至此,xiangqing.exe已經完成了自己所有的任務,但是狡猾的攻擊者還不忘在結束自己之前,彈出壹個“執行失敗”的窗口,讓受害者放松警惕。
圖六
?經過超級巡警的分析師發現,實際上木馬主程序(xiangqing.exe)並沒有任何攻擊能力,真正的罪魁禍首是釋放出來這個子程序(Helpchm.exe)。該攻擊子程序依舊使用了數據冗余的方法來逃脫各大殺軟的雲查殺,並且該木馬是使用的Delphi進行編寫。可見攻擊者具備壹定的 編程 功底,在能熟練使用VC的情況下還對Delphi也熟知。當Helpchm.exe啟動之後,便會常駐進程,對受害者的網絡交易進行監控。#p#副標題#e#?
下面是超級巡警對該程序的詳細分析:
發送數據包到(IP:117.41.243.115:80)測試網絡是否暢通。
圖七
圖八
檢測用戶是否登錄支付寶首頁(www.alipay.com),則進行攻擊。
圖九
在本地生成偽造的支付寶頁面.
?文件名稱:c:\cashier.alipay.com.standardgatewaysingleChannelPay.html
圖十
將支付寶的頁面重定向到到攻擊者的偽造網頁。
圖十壹
當受害者進行支付寶交易時,完全以為是通過支付寶在進行交易,然而已經被攻擊者偷天換日,將賬戶密碼提交給了攻擊者。之後,攻擊者便能利用受害者的賬戶為所欲為。
圖十二(原網頁)
圖十三(偽造後的網頁)
?該木馬使用了目前常用的數據冗余方法對抗雲查殺,之後又采用偷天換日的方法對抗 殺毒 軟件的主動防禦。整個過程均在後臺悄悄的進行,用戶在不知不覺中便會失去大量的資金。超級巡警安全中心建議用戶在進行網絡交易時,應當謹慎小心。不要隨意打開不可信賣家發送的任意文件,或許那就是壹個木馬。再者交易的過程也應當使用 銀行 U盾,保證交易的安全。也請及時安裝殺毒軟件,對病毒木馬進行有效的防禦,同時進行定期的掃描,保證系統的幹凈。#p#副標題#e#