春節購年貨，警惕網購木馬的「大採購」

春節臨近，在繼「雙11」、「雙12」等大型網購節後，各大電商又打起了「年貨節」大戰。而每逢這時，也是網路詐騙案件的高發期！你買買買，黑客騙騙騙！不少黑客已摩拳擦掌，使出渾身解數，準備進行「大採購」。

囤年貨啦

在日常工作、生活、學習過程中，需要用到電腦里各種各樣的軟體，然而，一旦軟體的設計、安全性不嚴謹，常常會給不法分子留下入侵的後門，本文將簡述在實驗室分析的一款遠程控制木馬是如何入侵用戶的電腦的，並將就防禦網購木馬入侵給出建議。

現象：通常情況下，黑客將木馬文件打包到常用的正常軟體中，用戶一旦接收並打開文件，電腦將被遠程控制，不法分子可進一步盜取隱私及財物、甚至植入病毒實現敲詐勒索等操作。

以下是對一款隱藏在QQ的購物欺詐木馬的分析：

圖1

01

白化入口

圖2

其中「購物.com」它本身不含惡意代碼，並且也用了CA機構簽發的數字證書籤名過的白文件。所以，殺毒軟體很難查殺到。

這種將入口程序做成正常文件的手段，通常是為了後面調用「黑代碼」提供入口，該文件本身並沒有什麼問題，用戶通常是在不知情的情況下就點擊了該文件，導致後續的「黑代碼」被執行，這種「白+黑」的手段通常具有迷惑性、行為隱密性。

02

分散的惡意代碼

黑客並不會將木馬或者惡意程序放在一個完整的文件中，這樣非常容易被殺毒軟體查殺到。通常是將一個木馬程序拆分成幾個很小的代碼片段文件，每個文件因為沒有完整的操作行為或特徵，看起來都是正常的文件。

黑客通過將惡意文件/木馬拆分成TEMA、WPS_office2016.lnk、WPS_office2017.lnk三個文件，詳見圖1中32B12A5BA3CE613B文件目錄。此處，黑客用了三種辦法來隱藏自己的惡意程序：

03

偽裝、替換正常的軟體程序

QQAPP.exe是騰訊簽名的能正常執行的白文件，因為QQAPP.exe在調用Common.dll時，沒有對Common.dll進行簽名校驗校驗，也就是說沒有驗證Common.dll是否是騰訊發布的正版文件，黑客通過將惡意文件拆分成TEMA、WPS_office2016.lnk、WPS_office2017.lnk三個文件，在程序執行過程中合併成新的common.dll，並且替換掉原來的正版dll文件。當QQAPP.exe執行的時候，惡意的common.dll就會被自動載入，從而執行惡意代碼。

圖3

04

監控用戶行為

為達到木馬自治的目的，通過惡意代碼讓QQAPP.exe能夠在系統重啟後自啟動，達到木馬長期駐留受害者電腦的目的，並能自動調用。

此時，雖然黑客還沒有對用戶進行實質性的攻擊或者破壞，但是為載入破壞程序做好了鋪墊。以下是黑客編寫的鍵盤記錄程序的一部分，通過異或0x62加密後保存到C:Windowssystem32ForShare.key。

通過記錄用戶的鍵盤記錄，盜取用戶網上使用的各種帳號和密碼。甚至是與錢財相關的金融帳號等等。

圖4

WE安全提醒

WE

建

議

WE安全提醒廣大消費者，下載安裝各類軟體時一定要選擇正規渠道，並注意開啟安全殺軟實時防護，在木馬感染系統前將其攔截，避免中招。

不過，針對網購木馬，殺毒軟體傳統的做法是收集網購木馬樣本，更新病毒庫進行攔截。由於網購木馬傳播範圍小，隱蔽性強，殺毒軟體很難在第一時間收集到所有的木馬樣本，因此大部分殺毒軟體對於網購木馬的解決辦法治標不治本，用戶依然有可能遭遇網購木馬欺詐。

對此，用戶可下載集成了網購木馬專殺功能的殺軟，可有效攔截網購木馬。

同時，WE安全建議廣大網民從以下三個方面防禦網購木馬入侵：

最後，大家都需牢記：不要向陌生人提供銀行賬戶及密碼，尤其是驗證碼！這可能是保護你財產安全的最後一道屏障，如果遇到詐騙也要及時報警，以免造成更大的損失。

最後的最後，WE安全祝大家：

安全備年貨，開心過大年！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！