网银大盗“高清实物照片”重点行为分析
发布时间:2021-09-08 13:04:43 所属栏目:安全 来源:互联网
导读:日前,一种新型网银大盗又开始横行阿里旺旺等网购工具。AVG中国区实验室对其关键行为的分析: 1.枚举windows窗口,通过检查窗口类名是否匹配Internet Explorer_Server来查找IE浏览器 2.找到IE浏览器之后,从Oleacc.dll中获得ObjectFromLresult函数,然后
|
日前,一种新型网银大盗又开始横行阿里旺旺等网购工具。AVG中国区实验室对其关键行为的分析:
1.枚举windows窗口,通过检查窗口类名是否匹配“Internet Explorer_Server”来查找IE浏览器
2.找到IE浏览器之后,从Oleacc.dll中获得ObjectFromLresult函数,然后注册一个WM_HTML_GETOBJECT消息,该消息用来获得网页中星号密码框中的密码
3.注册消息后,该病毒会循环判断当前网页地址中是否包含如下地址:
•hxxps://cashier.alipay.com/home/error.htm?errorCode=SYSTE
•hxxps://cashier.alipay.com/standard/result/rnPaymentResul
•hxxps://b2c.icbc.com.cn/servlet/ICBCINBSEBusinessServlet
•netpay.cmbchina.com/netpayment/BaseHxxp.d
•hxxps://ibsbjstar.ccb.com.cn/app/ccbMain
•hxxps://ebspay.boc.cn/PGWPortal/RecvOrder.do
•hxxps://easyabc.95599.cn/b2c/NotCheckStatus/PaymentModeAct.ebf?TOKEN=
•hxxps://pbank.95559.com.cn/netpay/MerPayB2C
•hxxps://ebank.spdb.com.cn/payment/main
•hxxps://ebank.gdb.com.cn/payment/ent_payment.jsp
•hxxps://b2c.bank.ecitic.com/pec/e3rdplaceorder.do
•hxxps://www.cebbank.com/per/preEpayLogin.do
•hxxps://www.cib.com.cn/NetPayment.jsp
•hxxps://cmpay.10086.cn/OPRTPRGN/100115.dow?BAL_TYP=1&BNK_NO=
由上述网址可以看出,该病毒基本会检测目前流行的所有网银系统,甚至包含了10086的手机钱包网站。
找到上述网址之后,该病毒会通过RPC远程调用指令,获取用户的网银身份密码信息
4.其中该病毒会对支付宝和10086手机钱包网站做特殊处理。
如果检测到用户正在登陆支付宝,该病毒会修改返回到客户端的支付宝html文本,让用户误以为支付宝安全失效
如果检测到10086手机钱包的网址,该病毒会在ftp服务端生成个asp文件,该asp文件的脚本内容为用户登陆手机钱包时提交用户名和密码post数据的URL。因为这样只要访问这个asp,就可以直接访问用户的手机钱包账户信息了:
5.病毒收集到用户的网银账户信息之后,会把这些信息记录到ftp端。直到目前,该ftp仍然有效:
 (编辑:信阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
