换鞋凳厂家
免费服务热线

Free service

hotline

010-00000000
换鞋凳厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

木马病毒也爱白加黑

发布时间:2020-02-11 04:28:21 阅读: 来源:换鞋凳厂家

春节快到了,新网购高峰也要来了。随之而来的就是那个老生常谈的安全问题。问题虽老,但是花样却很新。

最近网上出现一款名为“支付大盗”的网购木马。该木马利用百度竞价排名推广。当用户在百度搜索“阿里旺旺官网”等关键词时,会有一个推广链接指向一个木马网站,该网站页面与阿里旺旺真实官网非常相似,其下载按钮则指向“支付大盗”木马压缩包。如果你不慎运行了该木马,那么你的网银支付页面可能会被劫持,造成资金损失。

你一定很感到奇怪,既然是木马文件,为什么安全软件没有拦截呢?

木马攻击流程分析

一、当用户双击运行“阿里巴巴.exe”之后,它会加载执行l,由后者释放l、l、l等文件,以及i配置文件;

二、l木马行为:1)当dll运行后首先会去木马制作者设定好的网址获取配置信息,用于配置木马盗取到的金额转向哪个第三方收钱账户;2)监视浏览器访问的网址,当用户进行网上支付操作时启动劫持;3)在用户支付表单将要发送出去的时候,木马一方面截获表单数据,把此时的数据记为A;4)木马同时启动另一个在点卡购买网上几乎同步的游戏点卡交易,购买与中招用户付款金额几乎等值的游戏点卡等虚拟商品,再把交易中要求输入的验证码显示在中招用户面前,由用户自己辨识输入。这样木马就能得到验证码,再将购买点卡需要提交的表单标记为B:

这时出现了两个网购交易表单,结构如下: A:正常用户的支付宝信息+支付金额+支付的目标账号D1 B:木马作者的支付宝信息+支付金额+验证码(已得到)+支付的目标账号D2 于是,木马可以篡改交易数据生成如下表单: C:正常用户的支付宝信息+支付金额+验证码(已得到)+支付的目标账号D2 最后,“支付大盗”把中招用户的交易金额转到了自己的账户,对木马作者来说,等于花别人的钱给自己买了游戏点卡,从而销赃获利。

杂志以前发过一篇关于传统网购木马的文章,但是支付大盗已经是新型网购木马了。这个木马和传统的网购木马有什么不同么?的确,这个木马的钓鱼页面更加逼真,并且使用了最近很流行的白加黑技术,躲避安全软件查杀。

看过了解析我们就会明白,其中dll文件才是病毒的主体部分,真正的dll文件已经被替换。由于该exe程序有有效的数字签名,所以该加载dll的动作也被视为安全的。因此安全软件没有拦截,杀毒软件和防火墙在此时形同虚设。

可以说这是一个木马病毒利用可信程序进行破坏的典型案例。“白加黑”技术是一个方面,另一方面,整个过程与正常支付流程、界面更加相似,“用户体验”更加流畅、真实。

这类病毒中可信程序一般被称为Loader,该类木马经常使用的Loader有老版本的好压和暴风影音等,病毒作者之所以选择它们作为病毒Loader,是因为它们在运行时会加载其对应的动态链接库,这个和DLL劫持又有相似之处。它们利用了Windows系统中加载DLL的一个特点。一个exe程序要加载DLL文件是在磁盘上搜索DLL文件,而不是按照指定路径加载。如果DLL文件被替换的话,可能会造成一定的问题,如犇牛病毒,软件目录下会出现大量的l文件。

在现有防御体系中,究竟有哪些结构上的漏洞,导致“白加黑”的入侵成为可能?

为了减少误报,杀软大多将含有有效数字签名的文件特殊对待。这些文件一般都是由可信的公司所发布。另外,许多含有数字签名的程序其实就是系统程序,而系统程序的权限高,行为复杂,更加难以和病毒行为区分开来。为了避免误报造成系统崩溃,安全软件对这类程序一般都是直接放行。另外最近出现了能自己导入数字签名根证书的病毒。这类病毒一般带有自己签发的数字签名,但是在系统中没有相应的根证书,所以该数字签名是不受信任的。而病毒自己导入根证书之后,木马文件的数字签名就变成有效的了,这又给安全软件又出了个大难题。怎么才能平衡查杀率和误报,这是安全软件公司要考虑的问题。

同时我们发现这个支付大盗木马还采用了一种比较新颖的传播方式。记得第一次见木马使用百度竞价排名传播还是在2012年1月底。当时在百度上搜索下载Putty和WinSCP(两个Linux下的管理工具),第一条结果就是百度竞价排名的推广广告。这两个软件都是开源的免费软件,怎么还会有人在百度拿钱做推广呢?后来人们发现,推广链接下载的软件都带有后门,会造成服务器密码泄露。据说受害者达到10多万,其中不乏大型网站。

近些年以来,百度的竞价排名广告备受争议,从此看来,百度的确应该规范一下自己的竞价排名机制的广告内容,切实把网民的利益放在心中,真正的担负起自己的责任!

广州注册公司管理

深圳注册公司材料

代理记账电话

工商税务代理价格

相关阅读