天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

3•8节木马扎堆网购站,AVG提醒您“验货”需谨慎

2012-3-9天空软件佚名
p>         经历了多次腥风血雨,仍然能屹立不倒;用遍了各种营销噱头,仍然有众多网友趋之若鹜,这就是网络购物的魅力。又是一年“3•8节”,在强大的市场需求驱动下,各网购站点只需稍微费心策划个打折促销活动,就有不少生意纷至沓来。但是在这里,AVG不得不提醒广大用户,节日网购促销往往也是黑客们敛财的大好时机,以至于每到重要节日“网购木马”就呈现出大爆发的局面。

         从3月开始,AVG中国病毒实验室就截获到大批具有迷惑性伪装的“网购木马”,他们大多都以“3•8节”和“超低价”为噱头,以“网购促销”和团购等形式出现,在新兴事物集中爆发的网络环境里,只要网友购物心切,一不小心就有可能中招。

         下面我们选择一款经典的“实物图.exe”木马来分析看看。这款木马的特别之处在于使用了可信的软件的漏洞,利用可信的程序加载病毒文件执行恶意指令。对普通用户更具迷惑性。

         从奸商处得到的文件是一个压缩包

         解压后包含三个文件

         这时有警惕性的网友都会质疑这个exe,但是这个程序是具有合法的签名的,并且多家厂商的云鉴定也为安全。

         这样的话运行这个文件是否就是安全的?况且看起来挺像一个图片?况且卖家说运行这个文件解压缩图片?

         答案是否定的。蹊跷就在这个haozip.dll里。这个dll是一个网购木马,在运行后会进一步驻留进系统,旨在盗取淘宝帐号。

         那么该dll是如何被执行的呢?原来实物图.exe是属于好压软件的程序,这个exe在执行后会试图加载同目录名为haozip.dll的动态库而没有验证是否合法。这一点被病毒利用,于是就产生了这样一种借正常程序的壳,来执行恶意程序这一类病毒加载方式。

         使用这一方式来加载自身的病毒并非这一例,除了好压的签名程序,一些热门影音播放软件和一些安全类软件也沦为了该病毒的宿主。因此广大网友在接收到不明程序时,千万不要掉以轻心,需经常更新病毒库,不要因为exe是安全的就轻易运行。

         目前此恶意程序已被AVG检测为Generic27.JUX

         以上,AVG提醒广大用户,即使需求再迫切,网购也仍然需谨慎再谨慎:在登录网购页面前,不妨先用专业的探测软件检查一下,该网页是否被挂马、含病毒,例如AVG的link scanner,可以轻松流畅的帮你提前监测页面是否安全;同时,不是谁都能消受得起电脑裸奔的狂欢,为自己的电脑选择一款敬业并且专业的安全软件是必不可少的。

本文来源:天空软件 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行