据介绍,此“淘宝大盗”新变种木马主要通过淘宝旺旺进行传播,不良“卖家”通常会假借“宝贝图片”或“真人实拍图”之类的木马文件,诱骗买家用户接收并打开,感染电脑后,此木马会将自己捆绑在正常软件里,以逃避安全软件的查杀并时刻监控用户的网购行为,进而通过恶意篡改订单的方式,将中毒用户网银中的钱转移到陌生帐号。且感染该木马后,买家将无法使用“支付宝余额支付”和“快捷支付”功能,此木马将这两种支付方式直接屏蔽,目的是不在支付宝中留下犯罪线索。
【淘宝大盗新型变种木马运行过程分析】
一 通过安全程序启动木马可绕过安全软件检测
它利用了当前最流行的白加黑的盗号技术,由于好压图片查看程序存在DLL文件加载漏洞,因此当用户运行宝贝图片.exe(白文件)会自动加载haozip.dll(“淘宝大盗”),且不容易被安全软件发现。
二 诡异的错误提示,打消用户的怀疑
用户被骗接受文件后,运行的时候会出现类似系统文件已经损坏的提示,此时用户就会觉得没啥问题,不会怀疑到木马程序已经偷偷运行。
三 寄居在安全程序中伺机窃取用户网银
为了防止安全软件发现木马进程,它会把自己隐藏在记事本进程中,普通用户很难发现电脑已经中毒,放心网购以后导致网银的钱莫名转移到陌生人的账户中。
就如何避免受到此变种木马的波及,QQ电脑管家安全中心建议:
1、网购尽量选择正规的大网站,拒绝超低价诱惑。
2、网购过程中不接受陌生人传来的任何文件,因为这很有可能是伪装成“宝贝图片”、“真人实拍”等木马文件,不了解的用户很容易就上当受骗。
3、在自己不熟悉的网站中购物时,要多查网站资料(比如网站是否有前科),多问(宝贝的各种信息,如果是骗子可能根本就不熟悉)交易过程中最好别不问不说就直接拍下付款。
4、安装类似QQ电脑管家之类有效的安全软件,并开启“下载保护”,从源头阻止木马进入电脑,更可有效识别、拦截各种网购木马和各类欺诈网站。
本文来源:天空软件 作者:佚名