网银大盗疯狂肆虐阿里旺旺
作者：圈儿
<br><p>尽管早在 2006 年网银大盗就已经出现并泛滥，安全厂商也纷纷推出专杀工具，但时至今日，网银大盗非但没能偃旗息鼓，反而不断变种换代、诡计百出，利用多种途径横行阿里旺旺等网购工具、肆虐广大网民；更有甚者，仅仅接收一张图片，就能让你财物两空。 </p>
<p>近日， AVG 中国区实验室截获到利用淘宝网购“社会工程学”传播的病毒，该病毒通常以卖家给买家传送“高清实物照片”的形式传播。如果买家警惕心不够，点击被伪造成图片的病毒后，被提示“打开失败，不支持此格式”，买家以为图片格式不对，却不知病毒已经在悄悄窃取自己的网银信息。 </p>
<p>热衷于网购的王女士愤慨的回忆说，我在通过阿里旺旺和卖家聊天时，对方突然发来消息说：“亲，店铺里的图片不清晰，我给你传个高清实物照片”，我没有多想，并接收点开了，没想到却换来财物两空！ </p>
<p>AVG 中国区实验室的安全专家介绍说：飞扬草的功效与作用黑客们三白草的栽培 在作跑马拉松可能永久损坏心脏 案时通常会向网购消费什么是太阴病证者发送 “ 实物图 ” 、“清晰照片”等内容的压缩包，而该压缩包实际上是黑客精心压制的木马文件，一旦网购消费者放松警惕又无专业的安防措施，黑客的目的就能顺利达到。该木马会将消费者打入支付宝中的资金非法劫持到其它第三方支付平台，并利用各种手法套现；而对消费者来说，如果该木马得不到及时的清除还有可能带来更多的后续损失。 </p>
<p>买家误点“高清实物图片”后的情形： </p>
<p></p>
<p>以上伪造成图片的文件为病毒母体文件（ 被 AVG 检测为 Dropper.Generic ），是一个 RAR 自解压包。解压后生成如下文件： </p>
<p></p>
<p>该母体文件会从远端 ftp 下载一个加密的压缩包 360aa.zip ，然后利用 zip.exe 对其解密解压到 C:\CFLog\360aa.exe ，然后启动 360aa.exe ，并将其设为系统自启动项。 </p>
<p>这个 360aa.exe （ 被 AVG 检测为 PSW.Banker ）才是真正的罪魁祸首。 </p>
<p>根据 AVG 中国实验室分析，目前已经有不少淘宝用户的账户信息被该木马窃取。而今天正值光棍节网购狂欢季，网购消费者们在享受购物乐趣的同时更应该谨慎从事。 </p>
<p>AVG 提醒广大网购消费者，网上购物为您的购物提供了便利，但也千万要注意网购安全，尤其要注意不要随便接收并运行他人传来的文件，并注意文件格式是否与文件图标匹配，否则因小失大，财物两失。 </p>
<p>在此， AVG 建议您下载安装最全最新的永久免费杀毒软件套装—— AVG 杀毒软件（ www.avg.com ），即刻享受上网冲浪及您的个人财产的安全保障。 </p><p><p><p><p>附： AVG 中国区实验室对其关键行为的分析： </p>
<p>1 . 枚举 windows 窗口，通过检查窗口类名是否匹配“ Internet Explorer_Server ”来查找 IE 浏览器 </p><p><p></p>
<p>2 ． 找到 IE 浏览器之后，从 Oleacc.dll 中获得 抄法推拿疗法 正规气功其实很科学 ObjectFromLresult 新生宝宝四重点防护函数，然后注册产后怎么预防子宫下垂,子宫脱垂的预防,怎么预防子宫下垂 一个 WM_HTML_GETOBJECT 消息，该消息用来获得网页中星号密码框中的密码 </p>
<p></p>
<p>3 ． 注册消息后，该病毒会循环判断当前网页地址中是否包含如下地址： </p>
<p>· https://cashier.alipay.com/home/error.htm?errorCode=SYSTE </p>
<p>· https://cashier.alipay.com/standard/result/rnPaymentResul </p>
<p>· https://b2c.icbc.com.cn/servlet/ICBCINBSEBusinessServlet </p>
<p>· netpay.cmbchina.com/netpayment/BaseHttp.d </p>
<p>· https://ibsbjstar.ccb.com.cn/app/ccbMain </p>
<p>· https://ebspay.boc.cn/PGWPortal/RecvOrder.do </p>
<p>· https://easyabc.95599.cn/b2c/NotCheckStatus/PaymentModeAct.ebf?TOKEN = </p>
<p>· https://pbank.95559.com.cn/netpay/MerPayB2C </p>
<p>· https://ebank.spdb.com.cn/payment/main </p>
<p>· https://ebank.gdb.com.cn/payment/ent_payment.jsp </p>
<p>· https://b2c.bank.ecitic.com/pec/e3rdplaceorder.do </p>
<p>· https://www.cebbank.com/per/preEpayLogin.do </p>
<p>· https://www.cib.com.cn/NetPayment.jsp </p>
<p>· https://cmpay.10086.cn/OPRTPRGN/100115哺乳期上火怎么办吃什么下火呢,哺乳期吃什么下火,哺乳期吃什么下.dow?BAL_TYP=1 保护眼睛的方法和窍门,保护眼睛的方法有哪些,护眼小妙招紫菜发霉了还能吃吗,紫菜长霉能吃吗,紫菜过期了还能吃吗BNK_NO = </p>
<p></p>
<p>由上述网址可以看出，该病毒基本会检测目前流行的所有网银系统，甚至包含了 10086 的手机钱包网站。 <br>
找到上述网址之后，该病毒会通过 RPC 远程调用指令，获取用户的网银身份密码信息 </p>
<p>4 ． 其中该病毒会对支付宝和 10086 手机钱包网站做特殊处理。 <br>
如果检测到用户正在登陆支付宝，该病毒会修改返回到客户端的支付宝 html 文本，让用户误以为支付宝安全失效： </p>
<p></p>
<p></p>
<p><br>
如果检测到 10086 手机钱包的网址，该病毒会在 ftp 服务端生成个 asp 文件，该 asp 文件的脚本内容为用户登陆手机钱包时提交用户名和密码 post 数据的 URL 。因为这样只要访问这个 asp ，就可以直接访问用户的手机钱包账户信息了： </p>
<p></p>
<p></p><p>
<p>5 ． 病毒收集到用户的网银账户信息之后，会把这些信息记录到 ftp 端。直到目前，该 ftp 仍然有效：</p>
<p> </p>
<p></p>











http://bbs.tianlunvip.com/forum.php?mod=viewthread&tid=58801
http://www.kzbld.com/forum.php?mod=viewthread&tid=228995
http://dx.ec0750.com/forum.php?mod=viewthread&tid=35861
http://www.i-house.gq/forum.php?mod=viewthread&tid=2941052
http://www.daguantianxia.com/thread-80280-1-1.html
http://www.mdoom.com/forum.php?mod=viewthread&tid=245482
http://www.reptiles.com.cn/forum.php?mod=viewthread&tid=49315
http://www.plidea.com/forum.php?mod=viewthread&tid=44861
http://www.yanshuoba.com/forum.php?mod=viewthread&tid=80648
http://bbs.mxres.cn/forum.php?mod=viewthread&tid=244788
http://myzenchn.com/forum.php?mod=viewthread&tid=396666
http://www.sexgirl99.com/forum.php?mod=viewthread&tid=221092
http://www.hym68.com/thread-44622-1-1.html
http://www.xhybw.cn/forum.php?mod=viewthread&tid=33241
http://daishan.me/forum.php?mod=viewthread&tid=248227
http://www.91huodong.cn/forum.php?mod=viewthread&tid=146937
http://blog.fdksxy.com/forum.php?mod=viewthread&tid=252323
http://xc939.com/forum.php?mod=viewthread&tid=100516
http://www.xue66.cn/forum.php?mod=viewthread&tid=178899
http://www.heze5188.com/forum.php?mod=viewthread&tid=21589