“支付大盜”是最新出現(xiàn)利用百度競(jìng)價(jià)排名推廣的網(wǎng)購(gòu)木馬。近日，當(dāng)用戶(hù)在百度搜索“阿里旺旺官網(wǎng)”，推廣鏈接會(huì)出現(xiàn)一條木馬網(wǎng)站(www.hqdym.com)。該網(wǎng)站頁(yè)面與阿里旺旺真實(shí)官網(wǎng)非常相似，其下載按鈕則指向“支付大盜”木馬壓縮包。

[[105481]]

“支付大盜”(wangwang.rar)解壓縮后包括兩個(gè)文件，分別是：阿里巴巴.exe(實(shí)際為“秀我視頻聊天平臺(tái)”)、ClientModule.dll(體積很大、包含多種將要釋放的文件)。

[[105482]]

木馬攻擊流程分析

一、用戶(hù)雙擊運(yùn)行“阿里巴巴.exe”之后，它會(huì)加載執(zhí)行ClinetModule.dll，由后者釋放以下文件到D盤(pán)目錄：MOMO.exe、RSA.dll、AES.dll、MouseKeyHook.dll，以及alipay.ini配置文件;

二、MOMO.exe為脈脈傳音P2P聊天工具，它啟動(dòng)之后會(huì)加載RSA.dll、AES.dll、MouseKeyHook.dll，其中RSA.dll為木馬文件;

三、RSA.dll木馬行為：

1)該dll運(yùn)行后首先會(huì)去www.332332.net/這個(gè)網(wǎng)址獲取配置信息，用于配置木馬盜取到的金額轉(zhuǎn)向哪個(gè)第三方收錢(qián)賬戶(hù);

2)監(jiān)視瀏覽器訪(fǎng)問(wèn)的網(wǎng)址，當(dāng)用戶(hù)進(jìn)行網(wǎng)上支付操作時(shí)啟動(dòng)劫持;

3)在用戶(hù)支付表單將要發(fā)送出去的時(shí)候，木馬一方面截獲表單數(shù)據(jù)，把此時(shí)的數(shù)據(jù)記為A;

4)木馬啟動(dòng)另一個(gè)在匯暢網(wǎng)(m818.com)上幾乎同步的游戲點(diǎn)卡交易，購(gòu)買(mǎi)與中招用戶(hù)付款金額幾乎等值的游戲點(diǎn)卡等虛擬商品，再把交易中要求輸入的驗(yàn)證碼顯示在中招用戶(hù)面前，由用戶(hù)自己辨識(shí)輸入。這樣木馬就能得到驗(yàn)證碼，再將購(gòu)買(mǎi)點(diǎn)卡需要提交的表單標(biāo)記為B：

[[105483]]

這時(shí)出現(xiàn)了兩個(gè)網(wǎng)購(gòu)交易表單，結(jié)構(gòu)如下：

A：正常用戶(hù)的支付寶信息+支付金額+支付的目標(biāo)賬號(hào)D1

B：木馬作者的支付寶信息+支付金額+驗(yàn)證碼(已得到)+支付的目標(biāo)賬號(hào)D2

于是，木馬可以篡改交易數(shù)據(jù)生成如下表單：

C：正常用戶(hù)的支付寶信息+支付金額+驗(yàn)證碼(已得到)+支付的目標(biāo)賬號(hào)D2

最后，“支付大盜”把中招用戶(hù)的交易金額轉(zhuǎn)到了自己的賬戶(hù)，對(duì)木馬作者來(lái)說(shuō)，等于花別人的錢(qián)給自己買(mǎi)了游戲點(diǎn)卡，從而銷(xiāo)贓獲利。