AVG提醒:网银大盗疯狂肆虐阿里旺旺

• 空间

【简 介】
网银大盗泛滥,近日，AVG中国区实验室截获到利用淘宝网购“社会工程学”传播的病毒，该病毒通常以卖家给买家传送“高清实物照片”的形式传播。如果买家警惕心不够，点击被伪造成图片病毒后，被提示“打开失败，不支持此格式”，买家以为图片格式不对，却不知病毒已经在悄悄窃取自己的网银信息

尽管早在2006年网银大盗就已经出现并泛滥，安全厂商也纷纷推出专杀工具，但时至今日，网银大盗非但没能偃旗息鼓，反而不断变种换代、诡计百出，利用多种途径横行阿里旺旺等网购工具、肆虐广大网民；更有甚者，仅仅接收一张图片，就能让你财物两空。 

　　近日，AVG中国区实验室截获到利用淘宝网购“社会工程学”传播的病毒，该病毒通常以卖家给买家传送“高清实物照片”的形式传播。如果买家警惕心不够，点击被伪造成图片的病毒后，被提示“打开失败，不支持此格式”，买家以为图片格式不对，却不知病毒已经在悄悄窃取自己的网银信息。 

　　热衷于网购的王女士愤慨的回忆说，我在通过阿里旺旺和卖家聊天时，对方突然发来消息说：“亲，店铺里的图片不清晰，我给你传个高清实物照片”，我没有多想，并接收点开了，没想到却换来财物两空！ 

　　AVG中国区实验室的安全专家介绍说：黑客们在作案时通常会向网购消费者发送“实物图”、“清晰照片”等内容的压缩包，而该压缩包实际上是黑客精心压制的木马文件，一旦网购消费者放松警惕又无专业的安防措施，黑客的目的就能顺利达到。该木马会将消费者打入支付宝中的资金非法劫持到其它第三方支付平台，并利用各种手法套现；而对消费者来说，如果该木马得不到及时的清除还有可能带来更多的后续损失。 

　　买家误点“高清实物图片”后的情形： 

　　 

　　以上伪造成图片的文件为病毒母体文件（被AVG检测为Dropper.Generic），是一个RAR自解压包。解压后生成如下文件： 

　　 

　　该母体文件会从远端ftp下载一个加密的压缩包360aa.zip，然后利用zip.exe对其解密解压到C:\CFLog\360aa.exe，然后启动360aa.exe，并将其设为系统自启动项。 

　　这个360aa.exe（被AVG检测为PSW.Banker）才是真正的罪魁祸首。 

　　根据AVG中国实验室分析，目前已经有不少淘宝用户的账户信息被该木马窃取。而今天正值光棍节网购狂欢季，网购消费者们在享受购物乐趣的同时更应该谨慎从事。 

　　AVG提醒广大网购消费者，网上购物为您的购物提供了便利，但也千万要注意网购安全，尤其要注意不要随便接收并运行他人传来的文件，并注意文件格式是否与文件图标匹配，否则因小失大，财物两失。 

　　在此，AVG建议您下载安装最全最新的永久免费杀毒软件套装——AVG杀毒软件（www.avg.com），即刻享受上网冲浪及您的个人财产的安全保障。

附：AVG中国区实验室对其关键行为的分析： 

　　1．枚举windows窗口，通过检查窗口类名是否匹配“Internet Explorer_Server”来查找IE浏览器 

　　 

　　 

　　2．找到IE浏览器之后，从Oleacc.dll中获得ObjectFromLresult函数，然后注册一个WM_HTML_GETOBJECT消息，该消息用来获得网页中星号密码框中的密码 

　　 

　　3．注册消息后，该病毒会循环判断当前网页地址中是否包含如下地址： 

　　• https://cashier.alipay.com/home/error.htm?errorCode=SYSTE 

　　• https://cashier.alipay.com/standard/result/rnPaymentResul 

　　• https://b2c.icbc.com.cn/servlet/ICBCINBSEBusinessServlet 

　　• netpay.cmbchina.com/netpayment/BaseHttp.d 

　　• https://ibsbjstar.ccb.com.cn/app/ccbMain 

　　• https://ebspay.boc.cn/PGWPortal/RecvOrder.do 

　　• https://easyabc.95599.cn/b2c/NotCheckStatus/PaymentModeAct.ebf?TOKEN= 

　　• https://pbank.95559.com.cn/netpay/MerPayB2C 

　　• https://ebank.spdb.com.cn/payment/main 

　　• https://ebank.gdb.com.cn/payment/ent_payment.jsp 

　　• https://b2c.bank.ecitic.com/pec/e3rdplaceorder.do 

　　• https://www.cebbank.com/per/preEpayLogin.do 

　　• https://www.cib.com.cn/NetPayment.jsp 

　　• https://cmpay.10086.cn/OPRTPRGN/100115.dow?BAL_TYP=1&BNK_NO=

　 

　　由上述网址可以看出，该病毒基本会检测目前流行的所有网银系统，甚至包含了10086的手机钱包网站。 

　　找到上述网址之后，该病毒会通过RPC远程调用指令，获取用户的网银身份密码信息 

　　4．其中该病毒会对支付宝和10086手机钱包网站做特殊处理。 

　　如果检测到用户正在登陆支付宝，该病毒会修改返回到客户端的支付宝html文本，让用户误以为支付宝安全失效： 

　　 

　　 

　　如果检测到10086手机钱包的网址，该病毒会在ftp服务端生成个asp文件，该asp文件的脚本内容为用户登陆手机钱包时提交用户名和密码post数据的URL。因为这样只要访问这个asp，就可以直接访问用户的手机钱包账户信息了： 

　　 

　　 

　　5． 病毒收集到用户的网银账户信息之后，会把这些信息记录到ftp端。直到目前，该ftp仍然有效：