最近在各個QQ群中,筆者都注意到有不少朋友反映支付寶裡面的錢被盜走了,按理說如今的支付寶已經相當安全了,除非是電腦中被安裝了木馬,才會出現失竊的情況。
而在各大安全網站的提示上,都有著這樣的提示:“近期,在淘寶等網站流竄的淘寶‘壓縮炸彈’木馬呈迅速爆發態勢,嚴重威脅到網上交易資金安全。 安全專家介紹說:“‘壓縮炸彈’木馬是一個壓縮包文件,通常只有幾百KB大小,解壓縮後卻會變成上百MB的龐然大物。它能夠劫持網銀支付的鏈接,把用戶的網購交易資金劫持到黑客的賬戶。”
現在這個“壓縮炸彈”已經開始在淘寶買家中蔓延開來,筆者有幸成為了“壓縮炸彈”的目標,不過幸好有防御系統攔截,才沒有造成損失。下面我們來對“壓縮炸彈”的樣本進行分析,看看這個能假冒支付寶盜取資金的“壓縮炸彈”到底是如何作惡的。
“壓縮炸彈”木馬到底是什麼東西?
一般來說,壓縮文件的壓縮比,就是壓縮文件大小和解壓縮之後文件大小的比例,超過20倍,一些殺毒即報告為壓縮炸彈,或者叫解壓縮炸彈。因為一般壓縮文件不會直接感染系統,而掃描壓縮文件會減緩掃描速度,所以一般殺毒軟件都會規定壓縮比。同理還有壓縮文件嵌套層數,一般殺毒軟件會根據自身的需要進行設置,比如說小紅傘是24層,而ESET NOD32為10層。
為什麼木馬病毒要以“壓縮炸彈”這樣的形式發布呢?是因為木馬作者對木馬進行了特殊的加殼處理,使木馬程序壓縮至極致。而在解壓的過程中,由於壓縮率的不同,解壓出來的文件大小也會不同,這樣就能輕易躲過殺毒軟件的“雲查殺”系統。例如這個“壓縮炸彈”木馬,到截稿時為止,360、金山和瑞星還都無法檢測到,所以“壓縮炸彈”的目的是為了躲過殺毒軟件的“雲查殺”,可以說是一種很強大的免殺方式,是以後病毒和木馬的主流。
親身體驗“壓縮炸彈”如何運行
下面我們來對“壓縮炸彈”的樣本進行測試,由於在測試時已經做好了相應的檢測防護准備,“壓縮炸彈”的一舉一動都會被監視,沒有准備的朋友可不要輕易嘗試哦。
Step1:將“壓縮炸彈”進行解壓,解壓後得到一個大小為104MB,名稱為“實物圖20.jpg”(隱藏的後綴名為exe)的可執行文件,由於圖標是一張jpg圖片,而文件名又是帶jpg的,因此很具有迷惑性。
Step2:雙擊這個解壓出來的文件,馬上彈出一個錯誤對話框提示你“系統不支持1,但其實木馬早已悄悄在你系統中運行了。我們打開“任務管理器”,可以發現多出了一個“支付寶安全控件.cab“進程。這時由於木馬已經完全釋放,因此用殺毒軟件的”全盤殺毒“可以檢測出來。
▲木馬進程
Step3:現在我們的系統已經感染木馬了,木馬會監視系統中的支付寶操作,只要我們打開的網頁中有支付寶字樣,木馬就會啟動。登錄支付寶後,由於支付寶是采用https加密協議,因此在地址欄的最右側會顯示一個小鎖標志,說明網頁數據傳輸正處於加密中。我們點擊“充值”按鈕,選擇好網銀後點“下一步”,打開輸入充值金額頁面,這時我們會驚奇地發現:地址欄右側的小鎖圖標不見了,而網址也變成了“zhifu.91.com”。可見支付頁面已經被“狸貓換太子”了。
▲被替換的支付頁面
Step4:我們再進一步來尋找木馬的破綻,輸入好需要充值的金額後點“下一步”,我們會進入到網銀的支付頁面,這時我們會在“商城名稱”這一項中發現名稱為“VIP金庫”,而正常的支付寶充值名稱應該是“支付寶(中國)網絡技術有限公司)”。
▲商城名稱可以找到破綻
至此,木馬的思路就很清晰了:通過技術手段對用戶打開的網頁進行監控,一旦發現用戶有支付寶充值行為就對支付寶的支付頁面進行轉向,從而讓用戶的錢充入自己的賬戶。
防范方法
“壓縮炸彈”的行為很隱秘,危害也很巨大,並且可以躲過殺毒軟件的雲查殺,這對於經常上淘寶買東西的人來說是十分危險的。在不能依靠殺毒軟件的情況下我們可以通過兩點來防范:1.不要隨意接收別人發過來的陌生文件。2.注意文件壓縮前和壓縮後的比例。壓縮包只有幾百K,解壓後有上百M的肯定是“壓縮炸彈”無疑。