近日，AVG中国区实验室截获到利用淘宝网购“社会工程学”传播的病毒，该病毒通常以卖家给买家传送“高清实物照片”的形式传播。如果买家警惕心不够，点击被伪造成图片的病毒后，被提示“打开失败，不支持此格式”，买家以为图片格式不对，却不知病毒已经在悄悄窃取自己的网银信息。

　　热衷于网购的王女士愤慨的回忆说，我在通过阿里旺旺和卖家聊天时，对方突然发来消息说：“亲，店铺里的图片不清晰，我给你传个高清实物照片”，我没有多想，并接收点开了，没想到却换来财物两空！

　　AVG中国区实验室的安全专家介绍说：黑客们在作案时通常会向网购消费者发送“实物图”、“清晰照片”等内容的压缩包，而该压缩包实际上是黑客精心压制的木马文件，一旦网购消费者放松警惕又无专业的安防措施，黑客的目的就能顺利达到。该木马会将消费者打入支付宝中的资金非法劫持到其它第三方支付平台，并利用各种手法套现；而对消费者来说，如果该木马得不到及时的清除还有可能带来更多的后续损失。

　　买家误点“高清实物图片”后的情形：

　　以上伪造成图片的文件为病毒母体文件（被AVG检测为Dropper.Generic），是一个RAR自解压包。解压后生成如下文件：

　　该母体文件会从远端ftp下载一个加密的压缩包360aa.zip，然后利用zip.exe对其解密解压到C:CFLog360aa.exe，然后启动360aa.exe，并将其设为系统自启动项。

　　这个360aa.exe（被AVG检测为PSW.Banker）才是真正的罪魁祸首。

　　根据AVG中国实验室分析，目前已经有不少淘宝用户的账户信息被该木马窃取。而今天正值光棍节网购狂欢季，网购消费者们在享受购物乐趣的同时更应该谨慎从事。

　　AVG提醒广大网购消费者，网上购物为您的购物提供了便利，但也千万要注意网购安全，尤其要注意不要随便接收并运行他人传来的文件，并注意文件格式是否与文件图标匹配，否则因小失大，财物两失。

　　在此，AVG建议您下载安装最全最新的永久免费杀毒软件套装——AVG杀毒软件（www.avg.com），即刻享受上网冲浪及您的个人财产的安全保障。

　　附：AVG中国区实验室对其关键行为的分析：

　　枚举windows窗口，通过检查窗口类名是否匹配“InternetExplorer_Server”来查找IE浏览器

　　2．找到IE浏览器之后，从Oleacc.dll中获得ObjectFromLresult函数，然后注册一个WM_HTML_GETOBJECT消息，该消息用来获得网页中星号密码框中的密码

　　3．注册消息后，该病毒会循环判断当前网页地址中是否包含如下地址：

　　https://cashier.alipay.com/home/error.htm？errorCode=SYSTE

　　https://cashier.alipay.com/standard/result/rnPaymentResul

　　https://b2c.icbc.com.cn/servlet/ICBCINBSEBusinessServlet

　　netpay.cmbchina.com/netpayment/BaseHttp.d

　　https://ibsbjstar.ccb.com.cn/app/ccbMain

　　https://ebspay.boc.cn/PGWPortal/RecvOrder.do

　　https://easyabc.95599.cn/b2c/NotCheckStatus/PaymentModeAct.ebf？TOKEN=

　　https://pbank.95559.com.cn/netpay/MerPayB2C

　　https://ebank.spdb.com.cn/payment/main

　　https://ebank.gdb.com.cn/payment/ent_payment.jsp

　　https://b2c.bank.ecitic.com/pec/e3rdplaceorder.do

　　https://www.cebbank.com/per/preEpayLogin.do

　　https://www.cib.com.cn/NetPayment.jsp

　　https://cmpay.10086.cn/OPRTPRGN/100115.dow？BAL_TYP=1&BNK_NO=

　　由上述网址可以看出，该病毒基本会检测目前流行的所有网银系统，甚至包含了10086的手机钱包网站。找到上述网址之后，该病毒会通过RPC远程调用指令，获取用户的网银身份密码信息