【51CTO.com綜合報(bào)道】如果某天你打開了一個(gè)淘寶賣家發(fā)送給你的貨物照片，打開時(shí)卻顯示錯(cuò)誤。但是之后卻發(fā)現(xiàn)自己的支付寶無法支付，而其中的錢款卻不翼而飛。你一定不相信這是真的。事實(shí)上，你已經(jīng)被一種惡性木馬所感染。

卡巴斯基實(shí)驗(yàn)室最近截獲到這種木馬名為“在線支付劫持木馬”（ Trojan-PSW.Win32.Alipay.ib），危害性非常強(qiáng)。該木馬會(huì)將自身圖標(biāo)偽裝成圖片文件，并添加“The KMPlayer”版本信息，迷惑用戶點(diǎn)擊運(yùn)行。此外，為了避免被反病毒軟件的云端捕獲，木馬作者對(duì)木馬程序添加了大量且有規(guī)律的垃圾代碼，使文件體積巨大（約400M），但壓縮后體積只有幾百KB，非常易于傳播。一旦運(yùn)行，會(huì)將自身拷貝至C:\Documents and Settings\Administrator\My Documents\taobao\s.exe。并利用多種手段實(shí)現(xiàn)開機(jī)自動(dòng)啟動(dòng)。同時(shí)，會(huì)彈出提示“系統(tǒng)不支持”，使用戶誤認(rèn)為是圖片文件無法打開，實(shí)際上惡意代碼已經(jīng)被執(zhí)行。如下圖所示：

此木馬會(huì)注入惡意代碼至“services.exe”和“explorer.exe”進(jìn)程中，監(jiān)視用戶是否打開支付頁面。當(dāng)用戶支付時(shí)，支付對(duì)象會(huì)被修改，本應(yīng)該支付給正常商家的金額會(huì)落入黑客手中，之后，木馬程序會(huì)打開事先設(shè)計(jì)好的錯(cuò)誤頁面，如提示用戶支付超時(shí)等。這樣用戶不但無法買到想要的商品，反而蒙受損失。

目前，卡巴斯基已經(jīng)可以完美攔截和清除該木馬程序。請(qǐng)及時(shí)更新反病毒數(shù)據(jù)庫即可。同時(shí)，我們提醒廣大網(wǎng)購愛好者，安裝安全軟件并保持其實(shí)時(shí)監(jiān)控開啟，同時(shí)，盡量不要打開他人發(fā)送的安全性不明的可疑文件。以免感染惡意程序造成損失。