“支付大盜”是最新出現(xiàn)利用百度競價排名推廣的網(wǎng)購木馬。近日，當(dāng)用戶在百度搜索“阿里旺旺官網(wǎng)”，推廣鏈接會出現(xiàn)一條木馬網(wǎng)站(www.hqdym.com)。該網(wǎng)站頁面與阿里旺旺真實(shí)官網(wǎng)非常相似，其下載按鈕則指向“支付大盜”木馬壓縮包。

[[105481]]

“支付大盜”(wangwang.rar)解壓縮后包括兩個文件，分別是：阿里巴巴.exe(實(shí)際為“秀我視頻聊天平臺”)、ClientModule.dll(體積很大、包含多種將要釋放的文件)。

[[105482]]

木馬攻擊流程分析

一、用戶雙擊運(yùn)行“阿里巴巴.exe”之后，它會加載執(zhí)行ClinetModule.dll，由后者釋放以下文件到D盤目錄：MOMO.exe、RSA.dll、AES.dll、MouseKeyHook.dll，以及alipay.ini配置文件;

二、MOMO.exe為脈脈傳音P2P聊天工具，它啟動之后會加載RSA.dll、AES.dll、MouseKeyHook.dll，其中RSA.dll為木馬文件;

三、RSA.dll木馬行為：

1)該dll運(yùn)行后首先會去www.332332.net/這個網(wǎng)址獲取配置信息，用于配置木馬盜取到的金額轉(zhuǎn)向哪個第三方收錢賬戶;

2)監(jiān)視瀏覽器訪問的網(wǎng)址，當(dāng)用戶進(jìn)行網(wǎng)上支付操作時啟動劫持;

3)在用戶支付表單將要發(fā)送出去的時候，木馬一方面截獲表單數(shù)據(jù)，把此時的數(shù)據(jù)記為A;

4)木馬啟動另一個在匯暢網(wǎng)(m818.com)上幾乎同步的游戲點(diǎn)卡交易，購買與中招用戶付款金額幾乎等值的游戲點(diǎn)卡等虛擬商品，再把交易中要求輸入的驗(yàn)證碼顯示在中招用戶面前，由用戶自己辨識輸入。這樣木馬就能得到驗(yàn)證碼，再將購買點(diǎn)卡需要提交的表單標(biāo)記為B：

[[105483]]

這時出現(xiàn)了兩個網(wǎng)購交易表單，結(jié)構(gòu)如下：

A：正常用戶的支付寶信息+支付金額+支付的目標(biāo)賬號D1

B：木馬作者的支付寶信息+支付金額+驗(yàn)證碼(已得到)+支付的目標(biāo)賬號D2

于是，木馬可以篡改交易數(shù)據(jù)生成如下表單：

C：正常用戶的支付寶信息+支付金額+驗(yàn)證碼(已得到)+支付的目標(biāo)賬號D2

最后，“支付大盜”把中招用戶的交易金額轉(zhuǎn)到了自己的賬戶，對木馬作者來說，等于花別人的錢給自己買了游戲點(diǎn)卡，從而銷贓獲利。