38節(jié)木馬扎堆網(wǎng)購 AVG提醒"驗(yàn)貨"謹(jǐn)慎

    泡泡網(wǎng)安全相關(guān)頻道3月8日 經(jīng)歷了多次腥風(fēng)血雨，仍然能屹立不倒；用遍了各種營銷噱頭，仍然有眾多網(wǎng)友趨之若鶩，這就是網(wǎng)絡(luò)購物的魅力。又是一年“3·8節(jié)”，在強(qiáng)大的市場需求驅(qū)動下，各網(wǎng)購站點(diǎn)只需稍微費(fèi)心策劃個打折促銷活動，就有不少生意紛至沓來。但是在這里，AVG不得不提醒廣大用戶，節(jié)日網(wǎng)購促銷往往也是黑客們斂財?shù)拇蠛脮r機(jī)，以至于每到重要節(jié)日“網(wǎng)購木馬”就呈現(xiàn)出大爆發(fā)的局面。

    從3月開始，AVG中國病毒實(shí)驗(yàn)室就截獲到大批具有迷惑性偽裝的“網(wǎng)購木馬”，他們大多都以“3·8節(jié)”和“超低價”為噱頭，以“網(wǎng)購促銷”和團(tuán)購等形式出現(xiàn)，在新興事物集中爆發(fā)的網(wǎng)絡(luò)環(huán)境里，只要網(wǎng)友購物心切，一不小心就有可能中招。

    下面我們選擇一款經(jīng)典的“實(shí)物圖.exe”木馬來分析看看。這款木馬的特別之處在于使用了可信的軟件的漏洞，利用可信的程序加載病毒文件執(zhí)行惡意指令。對普通用戶更具迷惑性。

    從奸商處得到的文件是一個壓縮包，解壓后包含三個文件。 

    這時有警惕性的網(wǎng)友都會質(zhì)疑這個exe，但是這個程序是具有合法的簽名的，并且多家廠商的云鑒定也為安全。

    這樣的話運(yùn)行這個文件是否就是安全的？況且看起來挺像一個圖片？況且賣家說運(yùn)行這個文件解壓縮圖片？

    答案是否定的。蹊蹺就在這個haozip.dll里。這個dll是一個網(wǎng)購木馬，在運(yùn)行后會進(jìn)一步駐留進(jìn)系統(tǒng)，旨在盜取淘寶帳號。那么該dll是如何被執(zhí)行的呢？原來實(shí)物圖.exe是屬于好壓軟件的程序，這個exe在執(zhí)行后會試圖加載同目錄名為haozip.dll的動態(tài)庫而沒有驗(yàn)證是否合法。這一點(diǎn)被病毒利用，于是就產(chǎn)生了這樣一種借正常程序的殼，來執(zhí)行惡意程序這一類病毒加載方式。

    使用這一方式來加載自身的病毒并非這一例，除了好壓的簽名程序，一些熱門影音播放軟件和一些安全類軟件也淪為了該病毒的宿主。因此廣大網(wǎng)友在接收到不明程序時，千萬不要掉以輕心，需經(jīng)常更新病毒庫，不要因?yàn)閑xe是安全的就輕易運(yùn)行。目前此惡意程序已被AVG檢測為Generic27.JUX

    以上，AVG提醒廣大用戶，即使需求再迫切，網(wǎng)購也仍然需謹(jǐn)慎再謹(jǐn)慎：在登錄網(wǎng)購頁面前，不妨先用專業(yè)的探測軟件檢查一下，該網(wǎng)頁是否被掛馬、含病毒，例如AVG的link scanner,可以輕松流暢的幫你提前監(jiān)測頁面是否安全；同時，不是誰都能消受得起電腦裸奔的狂歡，為自己的電腦選擇一款敬業(yè)并且專業(yè)的安全軟件是必不可少的。■