Red de conocimientos turísticos - Conocimientos sobre calendario chino - Cambiar el día y la noche: los trucos del caballo de Troya Taobao

Cambiar el día y la noche: los trucos del caballo de Troya Taobao

?El Super Patrol Team ha detectado recientemente que un troyano Alipay llamado Trojan-PSW.Win32.Alipay.it (Baby Details. rar) es particularmente activo. Los atacantes suelen utilizar herramientas de chat de mensajería instantánea para llevar a cabo ataques. Este troyano en sí no es ofensivo, pero una vez que el usuario ejecuta el troyano, el troyano lanzará el programa de monitoreo Alipay en segundo plano. El programa de monitoreo siempre monitoreará las transacciones de los usuarios de Alipay, cambiará en secreto la página de pago y robará. los fondos de transacción del usuario.

El siguiente es un análisis detallado del troyano realizado por el Super Patrol Security Center:

El atacante se hace pasar por un vendedor de Taobao y envía un archivo de paquete comprimido de "Baby Details" a El archivo es en realidad El cuerpo principal del virus se ha utilizado para escapar del escaneo y eliminación del software antivirus en la nube mediante el método de redundancia de datos que ha sido muy popular recientemente. El escaneo y eliminación general en la nube no puede identificar este troyano en absoluto. .

Figura 1 (antes del lanzamiento)? Figura 2 (después del lanzamiento)

Cuando el usuario ejecuta el archivo en el paquete comprimido, aparece un archivo llamado Helpchm.exe, programa de ataque de caballo de Troya (Helpchm). .exe).

Figura 3 (Liberación del programa de ataque de caballo de Troya)

Modifique el registro y agregue Helpchm.exe a los elementos de inicio.

Figura 4 (Agregar elementos de inicio)

Ejecute el programa de ataque real.

Figura 5 (Ejecución del programa de ataque)

En este punto, xiangqing.exe ha completado todas sus tareas, pero el astuto atacante no se olvidó de mostrar un mensaje emergente "La ejecución falló". ventana, permitiendo a las víctimas relajar su vigilancia.

Figura 6

Los analistas de Super Patrol descubrieron que, de hecho, el programa principal del troyano (xiangqing.exe) no tiene ninguna capacidad de ataque. El verdadero culpable es su liberación. Programa de subprograma (Helpchm.exe). Esta subrutina de ataque todavía utiliza métodos de redundancia de datos para escapar del escaneo en la nube de los principales software antivirus, y el troyano está escrito usando Delphi. Se puede ver que el atacante tiene ciertas habilidades de programación y también está familiarizado con Delphi y domina el uso de VC. Cuando se inicia Helpchm.exe, se convertirá en un proceso residente y monitoreará las transacciones de red de la víctima. #p#subtitle#e#?

El siguiente es el análisis detallado del programa por parte de Super Patrol:

Envíe paquetes de datos a (IP: 117.41.243.115: 80) para probar si la red está abierto.

Figura 7

Figura 8

Detecta si el usuario ha iniciado sesión en la página de inicio de Alipay (www.alipay.com) y luego ataca.

Figura 9

Generar una página Alipay falsa localmente

? Nombre de archivo: c:\cashier.alipay.com.standardgatewaysingleChannelPay.html

Figura 10

Redirige la página de Alipay a la página web falsa del atacante.

Figura 11

Cuando la víctima realiza una transacción de Alipay, piensa completamente que la transacción se realiza a través de Alipay. Sin embargo, el atacante robó la contraseña de la cuenta y se la envió. Luego, el atacante puede hacer lo que quiera con la cuenta de la víctima.

Figura 12 (página web original)

Figura 13 (página web falsificada)

¿Este troyano utiliza métodos de redundancia de datos comúnmente utilizados para luchar contra el escaneo en la nube y matar y luego usar el método de robar el cielo y cambiar el día para luchar contra la defensa activa del software antivirus. Todo el proceso se lleva a cabo silenciosamente en segundo plano y los usuarios perderán una gran cantidad de fondos sin saberlo. Super Patrol Security Center recomienda que los usuarios tengan cuidado al realizar transacciones en línea. No abras a voluntad ningún archivo enviado por un vendedor no confiable, puede ser un caballo de Troya. Además, también se debe utilizar el escudo en U del banco durante el proceso de transacción para garantizar la seguridad de la transacción. Instale también software antivirus a tiempo para defenderse eficazmente contra virus y troyanos, y realice análisis periódicos para garantizar que el sistema esté limpio. #p#subtítulo#e#

上篇: ¿Por qué el software antivirus de la página de inicio de Baidu informa que hay virus cuando la abro? 下篇: El ascenso de la dinastía Han en los Tres Reinos