深度解析 防范网购木马

每到节假日都会出现网购高峰，购物网站和网络支付的普及让越来越多的用户加入到了网购大军中。巨大的金额和安全意识薄弱的用户

>> 解析网购安全防范及解决方案 网购木马骗钱黑幕 解析催眠的深度 深度解析 对焦技巧 深度解析iPhone 网购陷阱全解析教你如何选购 深度解析直销与传销 深度解析 快门速度 深度解析程序自动模式 “中国梦”之深度解析 朝鲜大阅兵深度解析 深度解析售后用户 春季开学市场深度解析 华硕HDMI显卡深度解析 美团网现盈利曙光 刺激BAT深度介入团购新战役 网络木马嵌入方式解析 解析位深度与颜色深度的关系及应用 解析针对企业网的ARP攻击防范 深度解析平行志愿和梯度志愿 三大定价法深度解析 常见问题解答 当前所在位置：l

测试环境：Vmware Workstation Windows XP SP3 无安全软件

经过对样本的收集，发现网购木马原理都很相似，而且压缩炸弹型木马很流行，你得到的压缩文件很小，可是解压出来的文件却相当大，看一下下边的图1。

压缩的木马文件是105KB，而解压得到的文件是260MB，压缩比达到了2500：1。木马为什么要用这个方式呢，原因是现在大多数的安全软件都有云安全功能，会自动上传可疑文件。但是为了不拖累用户的电脑，安全软件上传的文件都是有大小限制的，比如20MB，超过的将不再上传。这样网购木马通过添加大量垃圾数据，使文件体积变得很大，躲避云安全上传，增加自己的存活时间。

另外，这个压缩包的拓展名为*.Bz2，这是一种不常见压缩格式。可能有部分安全软件无法解压，这样也降低了杀软的检测率。

在虚拟机里双击样本运行，检测到以下行为：

加载动态链接库文件"MSVBVM60.DLL"、"SXS.DLL"、"vb6chs.dll"。

创建"C:\Documents and Settings\Administrator\My Documents\taobao\scb.exe"文件，并将自身复制到该文件夹，命名为"s.exe"（如图2）。

向svchost.exe进程中注入代码，出现对话框，提示系统不支持，然后结束自身进程（如图3）。

这也是网购木马的一个惯用伎俩。提示“系统不支持”说明你的软件有问题，而对方可以有理由应对，比如说“怎么这样啊，那我晚上再发给你吧。”等等，让你不会怀疑。如果打开后什么现象都没有，那你可能就要怀疑了。

这里简单介绍一下注入：自己系统里无缘无故多了一个进程可能会引起用户的怀疑，为了隐藏自身，很多病毒采用注入的手段。一般一个进程向另一个进程注入有两个方式，一是直接向目标进程写入指令，然后执行。另一种方式是释放动态链接库，加载到目标进程中，达到注入的目的。这个木马采用的是第一种方法，木马还在运行，可是你看不到它的进程。

然后骗子会千方百计的骗您进行一次支付，如故意打到你的账户一小笔钱，再联系你说钱打错了，让你退回去。等到用户进行支付操作时，scd.exe就会启动。我们看看它的行为。

开始还是加载动态库，并连接到到72.52.103.218（北京市电信）和219.142.78.222（美国虚拟主机）。

在IE浏览器临时文件夹中创建文件"user[2].htm"和"ip[1].htm"。

从远程文件： "/user.asp?user1=admin1" 读取数据到本地。

从远程文件： ".cn/ip" 读取数据到本地。

尝试打开远程文件： "/post/post.asp"。

接着该进程会先暂停浏览器进程，然后根据联网获得的信息修改IE缓存文件中的关键部分，然后再恢复浏览器进程，此时就会显示替换过交易对象和金额的页面。用户此时如果进行交易的话，钱就会支付到到黑客的账户上。SSL加密和安全控件都没有任何作用。我认为这也可以说是IE的一个漏洞：对缓存文件没有保护（如图4）。

安全网购，杜绝网购木马的几点建议：

1安装必要的安全软件，并打开实时防护。目前国内的安全软件都普遍有网购保镖功能，在你进行网购时自动扫描电脑里运行的程序，提高安全软件的防御级别，阻止安全性未知的程序的运行，并自动拦截钓鱼网站等。

2不要轻易接收陌生人发送的文件，打开前使用安全软件进行扫描，这样可以有效的识别和清除木马文件。

3自己要学习必要的计算机安全知识，养成良好的上网习惯。比如常见图片文件的拓展名是*.jpg、*.gif和*.bmp，那么发送*.exe、*.scr等可执行程序的人肯定是骗子。交易前要核对网站域名和交易信息，并使用第三方交易平台进行支付，直接汇款风险很大。一旦遭到诈骗时要保留证据（如发送的文件、网站截图和聊天记录等）并及时报警。