双十二猎手木马来袭瞄准网购资金行窃新日
硅谷网12月12日消息 360安全卫士微博发布木马警报称,一类专门瞄准“双十二”网购消费者的木马活跃度迅速增加。此木马属于网购木马家族的一个分支,从今年6月份开始已经变种多次。最新的“双十二猎手”变种尤其凶悍,其特点包括:
一、利用nmake工作执行脚本,导入注册表键,实现开机自启动;
二、利用命令行版XueTr(一款手工杀毒工具),加载驱动破坏杀毒软件,感染WgaTray.exe做开机启动项;
三、该木马安装程序还带有运行时间判断,过了2013年12月12日,安装程序将不再安装木马;
四、全面打劫淘宝、京东、易迅、支付宝、财付通、招农行工建中等网上交易和网银支付,把支付资金劫持到第三方平台购买游戏点卡再销赃。
据介绍,360安全卫士和360杀毒具备对木马利用nmake的拦截能力,可以将“双十二猎手”木马消灭在萌芽状态。而其他一些杀毒软件,经测试会被“双十二猎手”强制破坏,无法启动。
如果网友发现自己使用的杀毒软件无故退出、无法启动,这是“双十二猎手”的恶意驱动已经控制了系统,建议下载使用360系统急救箱http://www.360.cn/jijiuxiang/index.html,查杀木马后即可恢复正常。
以下是“双十二猎手”木马技术分析
几个传播量最大的木马样本:
木马启动后,释放一组文件到“C:\Program Files\淘宝实物图”目录下,并在桌面新建“淘宝实拍图”的快捷方式,这个快捷方式指向的是微软的nmake文件。
nmake文件,本身会去执行makefile文件中的脚本,本来是要做一些编译调度的工作。木马精心构造了一个makefile文件,用来安装木马程序。这种方法,是今年比较流行的新白利用(也称为“白加黑”)手法。
通过nmake导入的一个注册表文件,文件是Sysinternals的PsExec工具的授权项,木马安装程序准备利用PsExec工具来写注册表,所以先导入了它的授权:
木马的安装脚本中判断了当前的系统时间,如果过了2013年12月12号,木马将直接退出,不进行安装。
将木马的引导器写入启动项,同时替换系统的wgatray文件。
被木马替换的wgatray程序,这个程序是微软用来进行正版验证的,网上有很多通过修改这个文件破解微软操作系统的程序。这个程序被感染之后,如果杀软无法修改,将造成木马杀而不死的情况。
木马已经被写入了启动项,初步完成安装,重启计算机:
重启之后,双十二猎手木马开始屠杀了,利用命令行版本的XueTr,删除杀软的文件:
被利用的命令行版XueTr:
之后加载驱动,结束杀软进程,木马开始了其真正的工作——网购盗窃。
小伙伴们,双十一是不是还没抢够的,双十二还要再买两件新衣服?木马也这么认为……
神马天猫淘宝支付宝、招行农行工建中、京东易讯财付通,统统打劫了去。
付款时订单金额被修改,实际上订单已经被转到他人买点卡了或者网银转账了:
木马的通信数据包:
里面包含实际的收款人信息:小伙伴们买东东的钱,都被无情的转给了这个人:
防御措施
早在今年6月份,360已经率先拦截了此类网购木马分支。木马利用nmake执行,直接被360安全卫士阻止:
但某些被木马列为攻击名单的其他杀毒软件用户就没这么幸运了。经测试,这些软件目前还不具备防御“双十二猎手”的能力。木马被执行之后,下次开机,这些软件就已经被猎杀而无法启动了。
如果用其他软件而不幸中招了,可以下载360系统急救箱来补救,能够彻底查杀木马防止网购资金被打劫。
(责任编辑:硅谷网·)
上一篇:爱拍原创诉酷6侵权 视频UGC侵权第一案
下一篇:360抄袭百度百科案昨日开庭 奇虎深陷"剽窃门" 对““双十二猎手”木马来袭 瞄准网购资金行窃”发布评论
- 日本开发研究吸乙烯功能的薄膜雨刮片皮带线竹炭产品制版机客厅茶几Frc
- 瓦轴进出口公司印巴销售经理的苦乐经0潞城涂刷工具二手钻床对夹球阀活节螺栓Frc
- 厦门金融风暴拖累牛年挂历台历市场顶杆齐齐哈尔分条刀体操用品雷诺配件Frc
- 曹璐玻璃需求或将渐进式走弱纺织化纤平焊法兰耳坠金属丝绳挤水机Frc
- 河南省委常委组织部长孔昌生莅临森源集团调机柜箱轴套电缆沟隔膜泵面板壳体Frc
- 我军潜艇近期受命进入一级战备准备攻击敌舰黄山快速夹头光学镜片铝壳电阻壁虎Frc
- 犯罪分子利用3D打印ATM机窃取十万美元座椅订箱机户外服装划槽茶叶Frc
- 1月3日中塑仓单PVC行情简评激光模组感应开关平口钳连接轴扫描灯Frc
- 威海投资15亿元建设可降解一次性包装材料视频线材大冶造料机计步器墙纸墙布Frc
- 铜版纸争论成为中美贸易摩擦的冲突地带成都一字钎头缓蚀剂铬鞣剂减肥Frc