歲末將至，一年一度的促銷狂潮也陸續(xù)到來，各大網(wǎng)購網(wǎng)站施展渾身解數(shù)來吸引客戶。據(jù)最新數(shù)據(jù)顯示：僅國內(nèi)著名的網(wǎng)購平臺(tái)淘寶在12月12日推出的全民瘋搶活動(dòng)，一個(gè)小時(shí)內(nèi)，成交額就達(dá)到了4.75億，成交量278萬筆。令人眼花繚亂的促銷手段吸引來的不僅是諸多的網(wǎng)購達(dá)人，更吸引了眾多黑客的目光。在最近一段時(shí)間內(nèi)，AVG中國病毒實(shí)驗(yàn)室截獲大量針對(duì)國內(nèi)各種支付平臺(tái)的病毒，包括：百聯(lián)，盛付通，快錢，訊付，易寶，支付寶等。同時(shí)針對(duì)的范圍也有所擴(kuò)大，除了網(wǎng)購網(wǎng)站之外，一些游戲公司的充值網(wǎng)站也在此類木馬的攻擊范圍之列，如：完美，多玩，4399網(wǎng)絡(luò)游戲，征途游戲等。此類木馬大多是由某種生成器生成，并且木馬的作者提供后臺(tái)的管理系統(tǒng)。

此類病毒的傳播手段沒有很明顯的變化，大多還是利用社會(huì)工程學(xué)偽裝成word文檔，圖片文件，或者文本文件，誘導(dǎo)用戶點(diǎn)擊。對(duì)于攻擊的手段主要有竊取用戶的支付賬戶的密碼，修改用戶的支付賬戶。下面讓我們來近距離來接觸此類木馬，揭開它的神秘面紗。

目前截獲的一些樣本中大多數(shù)具有word文檔的圖標(biāo)。這類文件可能是以郵件附件的形式存在，也有可能是賣家發(fā)送產(chǎn)品信息。在運(yùn)行過程中此類木馬會(huì)首先連接到baidu，以確定當(dāng)前的網(wǎng)絡(luò)狀況。然后連接到病毒后臺(tái)的服務(wù)器。發(fā)出的請(qǐng)求的形式如下：

http://119.***.***.48:858/Api/163/Post.Php?UserName=aucodehu&Bank=ICBC&Money=88（鏈接已經(jīng)處理）

通過以上用戶名以及銀行信息，可以進(jìn)行管理和分贓。隨后木馬會(huì)簡單的收集一下系統(tǒng)的信息然后發(fā)送到相同的后臺(tái)系統(tǒng)。

包括本機(jī)的ip,操作系統(tǒng)版本，以及地理位置。

在進(jìn)行完以上的準(zhǔn)備活動(dòng)后，此木馬就開始監(jiān)控用戶的所瀏覽的網(wǎng)址，區(qū)別于以往的代碼注入，或者劫持API之類的手法，此類木馬使用了一種更為簡便而且行之有效的方法：定時(shí)器。而這種手段可能被某些主動(dòng)防御所忽略。此類木馬一般設(shè)置了三個(gè)或以上的定時(shí)器。觸發(fā)的時(shí)間間隔是200毫秒。這個(gè)時(shí)間間隔足以監(jiān)控到用戶對(duì)網(wǎng)站的操作。其中一個(gè)定時(shí)器，會(huì)通過GetCursorPos獲得當(dāng)前鼠標(biāo)的位置，進(jìn)而獲得當(dāng)前窗口的句柄。然后通過向Webbrowser控件(窗口類名是"Internet Explorer_Server")發(fā)一個(gè)WM_HTML_GETOBJECT的消息獲得IHTMLDocument對(duì)象。獲得此對(duì)象后，木馬作者就可以對(duì)該頁面進(jìn)行任何操作：解析該頁面元素，竊取自己感興趣的任何內(nèi)容，篡改支付信息等等，以下是在病毒中截取到的一個(gè)字符串的片段：

同時(shí)也會(huì)在頁面中添加一些屬性為隱藏的標(biāo)簽，這些標(biāo)簽是不會(huì)顯示在頁面中，但是卻是真正起作用的部分：

一旦點(diǎn)擊提交，這些頁面中隱藏的內(nèi)容將被提交，用戶就會(huì)面臨著信息失竊，財(cái)產(chǎn)損失。同時(shí)病毒還設(shè)置其它的定時(shí)器。用來關(guān)閉支付網(wǎng)站對(duì)用戶環(huán)境檢查的以及用戶支付失敗的頁面。

對(duì)于此類木馬的防范，應(yīng)該注意以下幾點(diǎn)：

1.保持殺毒軟件的及時(shí)更新。

2.不打開任何不是自己主動(dòng)索取的文件。

3.檢查文件的類型是否和圖標(biāo)以及后綴一致。

4.網(wǎng)購時(shí)如果發(fā)現(xiàn)任何用戶支付環(huán)境檢查的頁面被關(guān)閉，立即停止支付。

5.檢查支付頁面是否被修改。

AVG已經(jīng)可以檢測(cè)此類病毒，用戶們只要不關(guān)閉更新，保持病毒庫在當(dāng)前最新狀態(tài)，就可以有效阻止該木馬的侵襲。同時(shí)，AVG中國實(shí)驗(yàn)室借此提醒廣大網(wǎng)友，年底是各種網(wǎng)絡(luò)病毒爆發(fā)的高危期，平時(shí)網(wǎng)上沖浪特別是涉及財(cái)產(chǎn)交易時(shí)一定要謹(jǐn)慎再謹(jǐn)慎。