作品发布     邀请码    设为首页  收藏 

当前位置:文章安全类 → 文章内容 >> “支付大盗”之木马分析报告


“支付大盗”之木马分析报告

更新时间:2013-9-14 0:23:43   作者:华中帝国整理  来源:华中帝国
“支付大盗”之木马分析报告
“支付大盗”是最新出现利用百度竞价排名推广的网购木马。近日,当用户在百度搜索“阿里旺旺官网”,推广链接会出现一条木马网站(www.h q d y m.com)。该网站页面与阿里旺旺真实官网非常相似,其下载按钮则指向“支付大盗”木马压缩包。

“支付大盗”(wangwang.rar)解压缩后包括两个文件,分别是:阿里巴巴。exe(实际为“秀我视频聊天平台”)、ClientModule.dll(体积很大、包含多种将要释放的文件)。

木马攻击流程分析

一、用户双击运行“阿里巴巴。exe”之后,它会加载执行ClinetModule.dll,由后者释放以下文件到D盘目录:MOMO.exe、RSA.dll、AES.dll、MouseKeyHook.dll,以及alipay.ini配置文件;

二、MOMO.exe为脉脉传音P2P聊天工具,它启动之后会加载RSA.dll、AES.dll、MouseKeyHook.dll,其中RSA.dll为木马文件;

三、RSA.dll木马行为:

1)该dll运行后首先会去www.332332.net/这个网址获取配置信息,用于配置木马盗取到的金额转向哪个第三方收钱账户;

2)监视浏览器访问的网址,当用户进行网上支付操作时启动劫持;

3)在用户支付表单将要发送出去的时候,木马一方面截获表单数据,把此时的数据记为A;

4)木马启动另一个在汇畅网(m818.com)上几乎同步的游戏点卡交易,购买与中招用户付款金额几乎等值的游戏点卡等虚拟商品,再把交易中要求输入的验证码显示在中招用户面前,由用户自己辨识输入。这样木马就能得到验证码,再将购买点卡需要提交的表单标记为B:

这时出现了两个网购交易表单,结构如下:

A:正常用户的支付宝信息+支付金额+支付的目标账号D1

B:木马作者的支付宝信息+支付金额+验证码(已得到)+支付的目标账号D2

于是,木马可以篡改交易数据生成如下表单:

C:正常用户的支付宝信息+支付金额+验证码(已得到)+支付的目标账号D2

最后,“支付大盗”把中招用户的交易金额转到了自己的账户,对木马作者来说,等于花别人的钱给自己买了游戏点卡,从而销赃获利。

   免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

责任编辑:华中帝国        



本文引用网址: 

“支付大盗”之木马分析报告的相关文章
发表评论

用户名: 查看更多评论

分 值:100分 85分 70分 55分 40分 25分 10分 0分

内 容:

         (注“”为必填内容。) 验证码: 验证码,看不清楚?请点击刷新验证码