[摘要]而在各大安全网站的提示上,都有着这样的提示:“近期,在淘宝等网站流窜的淘宝‘压缩炸弹’木马呈迅速爆发态势,严重威胁到网上交易资金安全。 安...
而在各大安全网站的提示上,都有着这样的提示:“近期,在淘宝等网站流窜的淘宝‘压缩炸弹’木马呈迅速爆发态势,严重威胁到网上交易资金安全。 安全专家介绍说:“‘压缩炸弹’木马是一个压缩包文件,通常只有几百KB大小,解压缩后却会变成上百MB的庞然大物。它能够劫持网银支付的链接,把用户的网购交易资金劫持到黑客的账户。”
现在这个“压缩炸弹”已经开始在淘宝买家中蔓延开来,笔者有幸成为了“压缩炸弹”的目标,不过幸好有防御系统拦截,才没有造成损失。下面我们来对“压缩炸弹”的样本进行分析,看看这个能假冒支付宝盗取资金的“压缩炸弹”到底是如何作恶的。
“压缩炸弹”木马到底是什么东西?
一般来说,压缩文件的压缩比,就是压缩文件大小和解压缩之后文件大小的比例,超过20倍,一些杀毒即报告为压缩炸弹,或者叫解压缩炸弹。因为一般压缩文件不会直接感染系统,而扫描压缩文件会减缓扫描速度,所以一般杀毒软件都会规定压缩比。同理还有压缩文件嵌套层数,一般杀毒软件会根据自身的需要进行设置,比如说小红伞是24层,而ESET NOD32为10层。
为什么木马病毒要以“压缩炸弹”这样的形式发布呢?是因为木马作者对木马进行了特殊的加壳处理,使木马程序压缩至极致。而在解压的过程中,由于压缩率的不同,解压出来的文件大小也会不同,这样就能轻易躲过杀毒软件的“云查杀”系统。例如这个“压缩炸弹”木马,到截稿时为止,360、金山和瑞星还都无法检测到,所以“压缩炸弹”的目的是为了躲过杀毒软件的“云查杀”,可以说是一种很强大的免杀方式,是以后病毒和木马的主流。
亲身体验“压缩炸弹”如何运行
下面我们来对“压缩炸弹”的样本进行测试,由于在测试时已经做好了相应的检测防护准备,“压缩炸弹”的一举一动都会被监视,没有准备的朋友可不要轻易尝试哦。
Step1:将“压缩炸弹”进行解压,解压后得到一个大小为104MB,名称为“实物图20.jpg”(隐藏的后缀名为exe)的可执行文件,由于图标是一张jpg图片,而文件名又是带jpg的,因此很具有迷惑性。
Step2:双击这个解压出来的文件,马上弹出一个错误对话框提示你“系统不支持1,但其实木马早已悄悄在你系统中运行了。我们打开“任务管理器”,可以发现多出了一个“支付宝安全控件.cab“进程。这时由于木马已经完全释放,因此用杀毒软件的”全盘杀毒“可以检测出来。
▲木马进程
Step3:现在我们的系统已经感染木马了,木马会监视系统中的支付宝操作,只要我们打开的网页中有支付宝字样,木马就会启动。登录支付宝后,由于支付宝是采用https加密协议,因此在地址栏的最右侧会显示一个小锁标志,说明网页数据传输正处于加密中。我们点击“充值”按钮,选择好网银后点“下一步”,打开输入充值金额页面,这时我们会惊奇地发现:地址栏右侧的小锁图标不见了,而网址也变成了“zhifu.91.com”。可见支付页面已经被“狸猫换太子”了。
▲被替换的支付页面
Step4:我们再进一步来寻找木马的破绽,输入好需要充值的金额后点“下一步”,我们会进入到网银的支付页面,这时我们会在“商城名称”这一项中发现名称为“VIP金库”,而正常的支付宝充值名称应该是“支付宝(中国)网络技术有限公司)”。
▲商城名称可以找到破绽
至此,木马的思路就很清晰了:通过技术手段对用户打开的网页进行监控,一旦发现用户有支付宝充值行为就对支付宝的支付页面进行转向,从而让用户的钱充入自己的账户。
防范方法
“压缩炸弹”的行为很隐秘,危害也很巨大,并且可以躲过杀毒软件的云查杀,这对于经常上淘宝买东西的人来说是十分危险的。在不能依靠杀毒软件的情况下我们可以通过两点来防范:
1.不要随意接收别人发过来的陌生文件。
2.注意文件压缩前和压缩后的比例。
压缩包只有几百K,解压后有上百M的肯定是“压缩炸弹”无疑。
搜狗携手支付宝提升网购安全
支付宝控件MACOS版 Lion10.7.2可用
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。
关键词:杀软检测不出“压缩炸弹”专盗支付宝