发表于: 2010-10-13 19:44 | 显示全部 短消息 资料
字号: 1楼

支付宝帐号是数字大盗病毒的首要目标

前一篇博客写道数字大盗利用360程序组件设计缺陷启动病毒程序,今天看到毒霸的美女病毒分析师提供的进一步分析资料,分析报告显示,金山毒霸安全实验室截获的这个数字大盗样本,其目标是支付宝帐号。网民在线交易过程中,如果不小心双击打开对方发过来的所谓实物图,就会导致支付宝帐号被窃取,特别提醒网购时务必小心,不要接收或运行对方提供的任何程序或文档。

数字大盗病毒的启动流程:

netview.exe(带360数字签名->创建启动项)
|
|
360netview.dll(病毒伪造的DLL,在netview.exe启动时成功加载后,调用病毒主模块)
|
|
Shells.dll(可以预见,会有更多病毒采用其它文件名,这是病毒盗号的主模块)

美女分析师对shells.dll的简要分析:
1.查找当前IE活动窗口
2.获取网页上的表单元素,查找是否有输入信息的窗口,为后续盗号做准备
3.比对当前浏览的网页domain是否为alipay.com、taobao.alipay.com、cashier.alipay.com,是则继续
4.主程序启动cmd.exe并将视窗不可见,Shells.dll注入其中,截取鼠标键盘的动作,伺机盗号。

数字大盗目前看感染量不高,预计更多攻击者会采用类似方式加载。提醒网民在线购物时,不要接收更不要打开对方发送的任何文件,当对方试图传送文件给你的,可以简单地将其识别为网络小偷或骗子,应立即将其拉黑。


转自:李铁军博客


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)