木马病毒也爱白加黑

发布时间：2020-02-11 04:28:21 阅读：次来源：换鞋凳厂家

春节快到了，新网购高峰也要来了。随之而来的就是那个老生常谈的安全问题。问题虽老，但是花样却很新。

最近网上出现一款名为“支付大盗”的网购木马。该木马利用百度竞价排名推广。当用户在百度搜索“阿里旺旺官网”等关键词时，会有一个推广链接指向一个木马网站，该网站页面与阿里旺旺真实官网非常相似，其下载按钮则指向“支付大盗”木马压缩包。如果你不慎运行了该木马，那么你的网银支付页面可能会被劫持，造成资金损失。

你一定很感到奇怪，既然是木马文件，为什么安全软件没有拦截呢？

木马攻击流程分析

一、当用户双击运行“阿里巴巴.exe”之后，它会加载执行l，由后者释放l、l、l等文件，以及i配置文件;

二、l木马行为：1)当dll运行后首先会去木马制作者设定好的网址获取配置信息，用于配置木马盗取到的金额转向哪个第三方收钱账户;2)监视浏览器访问的网址，当用户进行网上支付操作时启动劫持;3)在用户支付表单将要发送出去的时候，木马一方面截获表单数据，把此时的数据记为A;4)木马同时启动另一个在点卡购买网上几乎同步的游戏点卡交易，购买与中招用户付款金额几乎等值的游戏点卡等虚拟商品，再把交易中要求输入的验证码显示在中招用户面前，由用户自己辨识输入。这样木马就能得到验证码，再将购买点卡需要提交的表单标记为B：

这时出现了两个网购交易表单，结构如下： A：正常用户的支付宝信息+支付金额+支付的目标账号D1 B：木马作者的支付宝信息+支付金额+验证码（已得到）+支付的目标账号D2 于是，木马可以篡改交易数据生成如下表单： C：正常用户的支付宝信息+支付金额+验证码（已得到）+支付的目标账号D2 最后，“支付大盗”把中招用户的交易金额转到了自己的账户，对木马作者来说，等于花别人的钱给自己买了游戏点卡，从而销赃获利。

杂志以前发过一篇关于传统网购木马的文章，但是支付大盗已经是新型网购木马了。这个木马和传统的网购木马有什么不同么？的确，这个木马的钓鱼页面更加逼真，并且使用了最近很流行的白加黑技术，躲避安全软件查杀。

看过了解析我们就会明白，其中dll文件才是病毒的主体部分，真正的dll文件已经被替换。由于该exe程序有有效的数字签名，所以该加载dll的动作也被视为安全的。因此安全软件没有拦截，杀毒软件和防火墙在此时形同虚设。

可以说这是一个木马病毒利用可信程序进行破坏的典型案例。“白加黑”技术是一个方面，另一方面，整个过程与正常支付流程、界面更加相似，“用户体验”更加流畅、真实。

这类病毒中可信程序一般被称为Loader,该类木马经常使用的Loader有老版本的好压和暴风影音等，病毒作者之所以选择它们作为病毒Loader,是因为它们在运行时会加载其对应的动态链接库,这个和DLL劫持又有相似之处。它们利用了Windows系统中加载DLL的一个特点。一个exe程序要加载DLL文件是在磁盘上搜索DLL文件，而不是按照指定路径加载。如果DLL文件被替换的话，可能会造成一定的问题，如犇牛病毒，软件目录下会出现大量的l文件。

在现有防御体系中，究竟有哪些结构上的漏洞，导致“白加黑”的入侵成为可能？

为了减少误报，杀软大多将含有有效数字签名的文件特殊对待。这些文件一般都是由可信的公司所发布。另外，许多含有数字签名的程序其实就是系统程序，而系统程序的权限高，行为复杂，更加难以和病毒行为区分开来。为了避免误报造成系统崩溃，安全软件对这类程序一般都是直接放行。另外最近出现了能自己导入数字签名根证书的病毒。这类病毒一般带有自己签发的数字签名，但是在系统中没有相应的根证书，所以该数字签名是不受信任的。而病毒自己导入根证书之后，木马文件的数字签名就变成有效的了，这又给安全软件又出了个大难题。怎么才能平衡查杀率和误报，这是安全软件公司要考虑的问题。

同时我们发现这个支付大盗木马还采用了一种比较新颖的传播方式。记得第一次见木马使用百度竞价排名传播还是在2012年1月底。当时在百度上搜索下载Putty和WinSCP（两个Linux下的管理工具），第一条结果就是百度竞价排名的推广广告。这两个软件都是开源的免费软件，怎么还会有人在百度拿钱做推广呢？后来人们发现，推广链接下载的软件都带有后门，会造成服务器密码泄露。据说受害者达到10多万，其中不乏大型网站。

近些年以来，百度的竞价排名广告备受争议，从此看来，百度的确应该规范一下自己的竞价排名机制的广告内容，切实把网民的利益放在心中，真正的担负起自己的责任！