双十二猎手木马来袭瞄准网购资金行窃新日

硅谷网12月12日消息 360安全卫士微博发布木马警报称，一类专门瞄准“双十二”网购消费者的木马活跃度迅速增加。此木马属于网购木马家族的一个分支，从今年6月份开始已经变种多次。最新的“双十二猎手”变种尤其凶悍，其特点包括：

一、利用nmake工作执行脚本，导入注册表键，实现开机自启动；

二、利用命令行版XueTr（一款手工杀毒工具），加载驱动破坏杀毒软件，感染WgaTray.exe做开机启动项；

三、该木马安装程序还带有运行时间判断，过了2013年12月12日，安装程序将不再安装木马；

四、全面打劫淘宝、京东、易迅、支付宝、财付通、招农行工建中等网上交易和网银支付，把支付资金劫持到第三方平台购买游戏点卡再销赃。

据介绍，360安全卫士和360杀毒具备对木马利用nmake的拦截能力，可以将“双十二猎手”木马消灭在萌芽状态。而其他一些杀毒软件，经测试会被“双十二猎手”强制破坏，无法启动。

如果网友发现自己使用的杀毒软件无故退出、无法启动，这是“双十二猎手”的恶意驱动已经控制了系统，建议下载使用360系统急救箱http://www.360.cn/jijiuxiang/index.html，查杀木马后即可恢复正常。

以下是“双十二猎手”木马技术分析

几个传播量最大的木马样本：

木马启动后，释放一组文件到“C:\Program Files\淘宝实物图”目录下，并在桌面新建“淘宝实拍图”的快捷方式，这个快捷方式指向的是微软的nmake文件。

nmake文件，本身会去执行makefile文件中的脚本，本来是要做一些编译调度的工作。木马精心构造了一个makefile文件，用来安装木马程序。这种方法，是今年比较流行的新白利用（也称为“白加黑”）手法。

通过nmake导入的一个注册表文件，文件是Sysinternals的PsExec工具的授权项，木马安装程序准备利用PsExec工具来写注册表，所以先导入了它的授权：

木马的安装脚本中判断了当前的系统时间，如果过了2013年12月12号，木马将直接退出，不进行安装。

将木马的引导器写入启动项，同时替换系统的wgatray文件。

被木马替换的wgatray程序，这个程序是微软用来进行正版验证的，网上有很多通过修改这个文件破解微软操作系统的程序。这个程序被感染之后，如果杀软无法修改，将造成木马杀而不死的情况。

木马已经被写入了启动项，初步完成安装，重启计算机：

重启之后，双十二猎手木马开始屠杀了，利用命令行版本的XueTr，删除杀软的文件：

被利用的命令行版XueTr：

之后加载驱动，结束杀软进程，木马开始了其真正的工作——网购盗窃。

小伙伴们，双十一是不是还没抢够的，双十二还要再买两件新衣服？木马也这么认为……

神马天猫淘宝支付宝、招行农行工建中、京东易讯财付通，统统打劫了去。

付款时订单金额被修改，实际上订单已经被转到他人买点卡了或者网银转账了：

木马的通信数据包：

里面包含实际的收款人信息：小伙伴们买东东的钱，都被无情的转给了这个人：

防御措施

早在今年6月份，360已经率先拦截了此类网购木马分支。木马利用nmake执行，直接被360安全卫士阻止：

但某些被木马列为攻击名单的其他杀毒软件用户就没这么幸运了。经测试，这些软件目前还不具备防御“双十二猎手”的能力。木马被执行之后，下次开机，这些软件就已经被猎杀而无法启动了。

如果用其他软件而不幸中招了，可以下载360系统急救箱来补救，能够彻底查杀木马防止网购资金被打劫。

(责任编辑：硅谷网·)

上一篇：爱拍原创诉酷6侵权 视频UGC侵权第一案

下一篇：360抄袭百度百科案昨日开庭 奇虎深陷"剽窃门" 对““双十二猎手”木马来袭 瞄准网购资金行窃”发布评论

在线咨询问诊

名医汇

挂号服务平台中心