訂單檔案因系統不相容無法開啟？小心點選秒變黑客提款機

在剛剛過去的七夕中，萬千網購賣家憑藉著一手“愛情牌”，佔盡“甜蜜”商機。然而雖然一個個賣家賺得缽滿盆滿，但殊不知稍有不慎，就可能成為網路黑手眼中的提款機。

近期，360安全大腦發現一款針對淘寶賣家的新型網銀木馬頻繁作案，此類木馬偽裝成傳送給商家的“訂單”檔案進行釣魚傳播，一旦使用者不慎開啟，就可能面臨資金被盜風險。

經溯源分析後，360安全大腦發現該作案黑客會藉助一個隱藏的第三方瀏覽器視窗，和支付寶的快捷登入功能實現對商家賬戶資金的操控。至少從去年12月份起，該木馬就已經開始活躍，至今已有數千個淘寶商家遭受攻擊，廣東等沿海地區受災尤為顯著。

在發現該威脅的第一時間，360安全大腦便及時反饋支付寶官方人員，並在全網對此類木馬進行全方位查殺和攔截，建議中招商家儘快下載安裝360安全衛士，保護個人資料及財產安全。

“訂單”木馬橫行網路

躲避殺軟以假亂真

360安全大腦經深入分析後發現，該作案黑客在淘寶店鋪裡找到目標後，就會通過阿里旺旺傳送給商家虛假的採購訂單檔案作為誘餌，該檔案可以利用官方的釘釘程式，來載入同目錄下捆綁了木馬的模組“nw_elf.dll”。

為了躲避安全軟體的查殺，此模組還特地使用了一個合法的數字簽名。

商家不慎點開後，狡猾的黑客還故意設計了一個欺騙性的提示彈出，讓使用者誤以為這個檔案由於系統相容性的問題沒有正常開啟，降低其心理防備。

然而實際上，木馬已經在後臺偷偷執行，並會在系統中安裝和啟動更多的後門模組。

作案黑客遠端操控暗中盜財

難逃360安全大腦攔截查殺

木馬安裝時，會新增讓系統每次登入時自動通過“el.exe”載入執行“B.txt”的計劃任務。

實際上，木馬安裝目錄（“C:\ProgarmData\References”）下的三個TXT字尾的檔案均是一種易語言編譯的特殊易包程式，三個程式模組分工明確、互相配合。其中，“C.txt”負責以服務的形式駐留系統並啟動“FHQ.TXT”。

“FHQ.TXT”執行後會通過程式快照監控程式列表，當啟動的程式路徑包含下列安全軟體目錄時，則會把該路徑加入一張過濾列表中進行對抗。

“B.txt”是本木馬最核心的工作模組，主要負責監控商家的支付密碼並提供遠端控制功能幫助黑客進行轉賬盜錢。該模組啟動後，會通過查詢千牛客戶端的視窗元件來對商家操作進行監控。

監控的目標是客戶端中可能出現的賬號密碼輸入，在如下“B.TXT”中內建的一份監控列表中可以看出，大部分的目標指向是支付寶的支付密碼。

拿到支付密碼後，黑客就可以通過木馬模組的遠端控制功能來進行轉賬盜錢的操作了。每次啟動後，木馬會嘗試連線內建的一份C&C地址列表，本例“B.TXT”樣本中主要內建2個控制域名分別是“mostere.com”和“huanyu3333.com”，控制埠為3500-3509。

遠端控制功能包含一個核心的輔助轉賬功能，該功能的實現原理是藉助一個第三方瀏覽器，建立一個對商家隱藏但對黑客可見的瀏覽器操作視窗。在商家登入千牛時，其會利用千牛客戶端提供給瀏覽器的便捷登入功能，來進行免密快速登入。如下是黑客啟動瀏覽器後，對瀏覽器進行圖示隱藏並將視窗位置移出桌面正常顯示範圍的操作：

藉助這個隱藏的瀏覽器，黑客可以遠端操作進行一鍵登入商家的支付寶賬戶，暗中轉走商家的賬戶資金。和以往常見的支付寶“暗雷”木馬不同，此盜竊過程不需要對使用者進行二次誘騙，完全由黑客遠端進行監控和操作，因此隱蔽性和危害性更強。

在網警提供的受害商家木馬安裝目錄中，提取輔助瀏覽器的歷史記錄可發現，作案黑客通過該方式暗中對受害商家進行了多次轉賬操作，並且在轉賬之前還進行過借款操作。

縱觀此次針對淘寶賣家的“訂單”木馬事件可見，商家只要在中招後繼續通過電腦進行登入、轉賬等操作，支付密碼就會暴露給黑客。同時，為了避免異地登入等安全提示，黑客會利用千牛客戶端的快捷登入功能和一個隱藏的第三方瀏覽器，通過遠端操控商家電腦進行暗中盜取錢財。面對如此防不勝防的網路威脅，使用者安全防護意識切忌放鬆警惕。

不過廣大使用者無需過分擔心，在360安全大腦的極智賦能下，360安全衛士已實現針對該類木馬的全面攔截和查殺。為避免攻擊態勢再度蔓延，建議廣大使用者做好以下防護措施：

1、及時前往weishi.360.cn，下載安裝360安全衛士，強力查殺此類病毒木馬；

2、提高安全意識，為個人電子賬戶設定強密碼和多重驗證；

3、定期檢測系統和軟體中的安全漏洞，及時打上補丁。

       檔案HASH

       024fcea030ea331c75fbccbeaf98ea45  nw_elf.dll

1c8f99d078e297b8727af42a390ad1b3       B.TXT

735bf3d9af6e104e13943be5e3b98dcd      C.TXT

68b90544ce30af5befc39731a93bfd60 FHQ.TXT

       C&C

       mostere.com

       huanyu3333.com

mostereses.com