查看: 10515|回复: 43
收起左侧

[分享] 央视:病毒通过360免杀认证 点击后支付宝被盗

  [复制链接]
蜀山小剑侠
头像被屏蔽
发表于 2017-10-11 23:28:40 | 显示全部楼层 |阅读模式
就在今年的春晚上,支付宝、微信、手机QQ之间的红包大战战火纷飞、硝烟弥漫。一场猴年春晚的红包大战下来,砸了2个多亿的支付宝是否撬动了微信的地位我们不得而知。但是,就在年前,在淘宝上做生意的商家被一帮小毛贼给盯上了,财大气粗的支付宝公司竟因此背上了“黑锅”。

  今年1月,温州市瑞安市公安局接到一起报案,报案者不是旁人,正是支付宝公司,说很多商家的钱莫名其妙地被转走了,支付宝公司只好先行赔付。
  淘宝用户邹品林在不到四分钟的时间内被转走了4900多元。像邹品林一样莫名其妙被盗的一共有19人,其中最多的一笔高达三万多,最少的只有七百多元。小偷把钱给偷走了,支付宝公司却要赔偿被偷者的损失。支付宝公司当然不干啦,于是它们就查这钱的去向。
  那这么多人的钱到底是怎么被盗的呢?受害人说他们都是收到购买信息,问他们能不能按照图片要求来支付,他们同意后,对方就说要加QQ好友,
  然后通过QQ发了一个文件过来。

  一般来说在淘宝支付宝交易都有统一的支付流程,那这个有些奇怪的买家为什么要独辟蹊径呢?他发来的到底是什么文件呢?他们发来的不过是一张普通得不能再普通的图片,但是你要想打开这张图片却怎么也打不开,因为它根本就不是图片文件,而是一个后缀名为EXE的可执行文件,这就是我们常说的木马病毒文件。而正是这张伪装成图片的木马程序把19位淘宝店主的钱给偷走了,那么这木马病毒文件究竟是怎么来的呢?它又是用什么方法来偷盗这些淘宝店主钱财的呢?
  在现实社会中,一个人只有一个名字。可是在网络世界里,却可以拥有多种称呼,因此要在网络世界查找一个人谈何容易。再狡猾也会留下蛛丝马迹,瑞安网警通过技侦手段最后锁定了一位名叫庄迁日的犯罪嫌疑人,并对其进行了抓捕。
  庄迁日落网了,对自己发木马窃取钱财的犯罪事实他是供认不讳,那么他究竟是怎么用什么方法来实施盗窃的呢?
犯罪嫌疑人在淘宝上找到淘宝商家购买东西,然后
  以有没有这样的商品为理由,把伪装成照片的木马程序发给淘宝商家。当商家点开图片后,木马程序就被安装到了商家电脑里。然后犯罪嫌疑人再次找到商家,以商品不合适为理由申请退款。于是就在商家接受申请,并输入支付宝密码的时候,木马的后台程序就自动把支付宝密码记录了下来。犯罪嫌疑人就这样轻松的盗取了淘宝商家的支付宝密码,而支付宝账号里的钱也就轻松的转到了犯罪嫌疑人的账号里。
  但是对于瑞安警方来说,事情可没这样简单,两个疑问一直盘旋在他们心里。一是,这庄迁日只有小学毕业,对计算机也是一知半解。这木马程序他是从何而来?二是,大部分电脑都装了杀毒软件,这木马病毒一安装就会被拦截,哪这木马程序是怎么躲过重重关卡的呢?
  针对这两个问题,瑞安网警仔细盘问了庄迁日。他告诉警方,木马病毒之所以能顺利骗到淘宝商家的秘密。这个木马病毒会被常见的杀毒软件查杀,唯独安装360杀毒软件不能查杀。因为它的木马病毒是申请了360的免杀认证的。否则就不能使用,甚至是偷不到钱。庄迁日告诉瑞安警方,给他做这360认证的是一位网名叫“碎花洋群的优雅”的网友,根据这个信息,警方在厦门抓获了一个叫姜永志的犯罪嫌疑人。他交代确实给木马病毒做过免杀认证。
  只有初中文化的姜永志其实并不怎么懂技术,为什么他会这认证免杀呢?据姜永志交代是因为他们公司就是开发软件的,每一个软件出来,都要做360的认证。他只不过是利用公司的有利条件帮庄迁日他们做个认证而已,而自己从中赚个小钱,多少钱呢?认证一次,一千元。

  有了姜永志帮做的360认证,伪装成图片的木马病毒就可以畅通无助。再也不会出现拦截提示,或者干脆是被直接截杀的可能。在电脑系统看来这文件已经是免检产品。
  免杀让木马病毒畅通无助,但这木马病毒又是哪里来的呢?庄迁日告诉警方这木马病毒和后台程序来源于一位网名叫dark knight(黑暗骑士)的网友,木马病毒和后台程序是黑暗骑士租赁给他的。根据庄迁日提供的线索,结合他和这位黑暗骑士的聊天记录,瑞安网警很快就查出木马病毒和后台程序提供者的地址和姓名。警方抓获了福州人吕宝姬。他承认木马程序是他开发的。
  在瑞安警方看来,抓到吕宝姬。利用木马病毒和后台程序进行盗窃的链条已经是寻到根了。可是让警方没想到的是,吕宝姬告诉警方,木马病毒是他开发的没错。但利用木马病毒起心去偷钱的始作俑者并不是庄迁日,而是另有他人。

  根据吕宝姬提供的信息,瑞安警方很快在辽宁抓获了网名叫too,真名叫孟宪洋的犯罪嫌疑人。而正是孟宪洋的落网一下让整个案件清晰起来。没有正当职业的孟宪洋喜欢玩网络游戏,在玩游戏的过程中他发现了一个赚钱的门道。
  他进了一个QQ群,进了这种群之后,孟宪洋发现其实赚钱的门路就是帮他们干活,干什么活呢?发木马。别人挣到钱后就会分一些给他。
  孟宪洋不甘心帮别人干,想决定单干。他在网上发了一个帖子,要购买木马病毒。很快就有人跟他联系,将代码给他让他测试一下,然后再给钱,但孟宪洋留下了代码没有付钱,他发帖准备找个懂行的人帮他搞定这个代码。

  孟宪洋发出的贴子很快就有了答复,这个人是谁呢?就是吕宝姬。但吕宝姬也弄不明白这个代码,就答应孟宪洋给他重新开发一个。
  在吕宝姬看来,孟宪洋提供的所谓源代码已经过时了,360浏览器的杀毒功能很容易识别出来,他能做一个更好的。就这样,孟宪洋这个菜鸟加上吕宝姬这个行家从此就成了一根绳子上的蚂蚱。孟、吕双方达成口头协议,孟宪洋出资两万元由吕宝姬重新开发一个木马程序。
  而如果仅仅是开发一个程序,可能事情对吕宝姬来说也就仅仅到此为止,可情况却并非如此。吕宝姬并没有将源代码交给孟宪洋,而是孟宪洋用木马偷得钱他都要提两成,孟宪洋每盗窃一万块钱,必须得给他二千块钱,从偷的钱里抽头,这就是为什么法院最终判决时,认定吕宝姬也构成了盗窃罪的原因。有了木马病毒和后台程序,孟宪洋完全就可以单干了,那为什么后来警方发现在实际操作的却是庄迁日呢?他们俩又有什么关系呢?原来孟宪洋并没有自己来操作,而是又在网上发了一个小广告。
孟宪洋发出的广告非常诱人。兼职,坐在家里一天就能赚300元。很快就有人应聘了,这人就是庄迁日。
  孟宪洋给庄迁日下达的任务很简单,就是拉单。一旦庄迁日发送木马成功,孟宪洋就会收到骗来的支付宝账户信息,从而实施转账盗窃。不过为了激励庄迁日,孟宪洋承诺,除了每天300元的固定工资,每偷来一笔钱,分一半给庄迁日。
  这个木马病毒可是孟宪洋花2万元从吕宝姬那儿买来的,还承诺用偷来的钱给他20%的提成,原因都是因为当初吕宝姬信誓旦旦地说,自己重新写的木马跟得上时代,能躲过360浏览器的杀毒关卡,当孟宪洋告诉吕宝姬你这木马病毒没用。只要一安装,就提示是病毒,这合作没法继续了。一听这话,吕宝姬也顿时慌了手脚。如果木马不能被安装,哪自己那部分钱就没着落了。

  为了解决认证的这个问题于是吕宝姬就找到了姜永志,答应他每认证一次给1000元,有了姜永志的帮助庄迁日找淘宝商家安装木马的行动才能屡屡得手。到此,四个天南海北的人,把一个看似完美无缺的网络犯罪体系架构完毕了,本想着可以放心大胆地空手套白狼了,可是没想到,也就两个月的时间,这个体系里的一个核心人物却突然失踪了,这又是怎么回事呢?
  孟宪洋和庄迁日、吕宝姬都是单线联系。而庄迁日和吕宝姬也本来并不认识。可是就在2014年12月底,吕宝姬和庄迁日同时发现联系不上孟宪洋了。通过孟宪洋在淘宝里留下的联系方式,吕宝姬竟然联系上了庄迁日,两人也开始了合作。
  因为孟宪洋的失踪,庄迁日、吕宝姬、姜永志阴差阳错的走到了一起,那孟宪洋到底去哪呢?答案让人大跌眼镜,他赌博一晚上输了七、八千元钱,心疼得不得了,竟然抑郁症发作,住院去了。
正是这种难以填满的欲望,而又不择手段的违法行为。最终把孟宪洋、庄迁日、吕宝姬、姜永志送上了被告席。2016年1月26日瑞安市人民法院对四人做出了如下判决:  被告人庄迁日犯盗窃罪,判处有期徒刑三年三个月,并处罚金人民币10000元。罚金限判决生效之日起十日内缴纳。被告人吕宝姬犯盗窃罪,判处有期徒刑三年,并处罚金人民币10000元。被告人姜永志犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币3000元。
  要做到不被这无形之贼所害,提醒大家尽量不要在其他人的电脑上登陆一些涉及自己资金的银行卡账号,或者支付宝账号。不要随意打开陌生人发过来的一些文件,此外一些陌生的扫二维码的东西,其实也是下载病毒的一个过程

360主动防御
发表于 2017-10-12 21:34:52 | 显示全部楼层
声明:
1、 对合法软件进行安全认证是国内外安全厂商的通行做法。360软件安全认证是为合法企业和开发者提供的免费服务,目的是避免正规软件在更新升级后遭到误报。在360进行软件安全认证的企业必须具有营业执照、文化部网络文化经营许可证及工信部网站备案资质。一旦出现被木马利用的行为,360会配合公安机关对其进行重拳打击,犯罪分子必将遭到法律严惩。

2、 3月23日晚间,央视《经济与法》栏目报道的事件,是一家名为“厦门盛游网络科技有限公司”的员工,在接受犯罪分子贿赂后,把木马混入该公司旗下的“801游戏客户端”提交给360软件安全认证平台实现免杀。对此类非法行为,我们已加强监管措施,遵循“实名认证+技术检测+用户举报”的基本原则,通过多重审核、人工分析、定期回查等措施杜绝此类事件的再次发生。

3、 自360从2010年发布人工智能病毒查杀引擎QVM以后,木马的生存空间被极大地压缩,于是滋生了利用贿赂第三方软件公司员工的方式,借道合法软件免杀。360对此始终保持高压打击,并推出网购先赔,鼓励用户举报,承诺用户如因木马造成财产损失,360公司会进行现金赔偿,保证用户权益不受损害。今后,360将和公安机关展开更紧密的合作,对一切网络犯罪行为严打到底。
利刀1937
发表于 2017-10-12 23:08:33 来自手机 | 显示全部楼层
第二条,混在客户端中实现免杀,这不就是给钱就加白吗?
软件认证至少也得无毒才能通过认证吧?360就这么实诚给钱就给认证?

评分

参与人数 6人气 +6 收起 理由
潘基炫 + 1 很给力!
Candygu + 1 根据版规,加1分以示鼓励
a445441 + 1 很给力!
我就是XXX + 1 刀爷依旧很犀利啊!!
猥琐大叔 + 1 加分鼓励

查看全部评分

jianke333
发表于 2017-10-12 23:12:22 | 显示全部楼层
作为安全软件

底线是分析文件安全之后再根据营业执照做白名单。
有营业执照=安全?骗子公司也不少吧?
sadfish5
发表于 2017-10-13 03:04:59 | 显示全部楼层
360主动防御 发表于 2017-10-12 21:34
声明:
1、 对合法软件进行安全认证是国内外安全厂商的通行做法。360软件安全认证是为合法企业和开发者提 ...

1,先赔模式理论最高赔付为6000元RMB,超过部分需要自己承担
2,网购先赔,通过字面理解,就是网购的时候,如果被骗才赔,如果自己上网,接受了qq好友的文件,是否符合条件呢?
3,安全认证,安全认证。。。。安全了,才给认证。。
但是从声明中读出:“为避免正规软件在更新升级后遭到误报”,所以,只要第一次提交的文件是安全的,那么这个公司就是安全的,所以,这个公司以后升级的文件是安全的。
这是非常验证的漏洞和逻辑错误。
KK院长
发表于 2017-10-13 09:11:32 | 显示全部楼层
如果360公司继续开发 MD 64位支持 win10  或 开发64位支持 防火墙 的话,那木马就GG了。
kinerarten
发表于 2017-10-13 09:27:22 | 显示全部楼层
碉堡了,碉堡了,碉堡了
经京饭
头像被屏蔽
发表于 2017-10-13 10:25:16 | 显示全部楼层
哎……五味杂陈!
我就是XXX
发表于 2017-10-13 10:31:49 | 显示全部楼层
360主动防御 发表于 2017-10-12 21:34
声明:
1、 对合法软件进行安全认证是国内外安全厂商的通行做法。360软件安全认证是为合法企业和开发者提 ...

我很想知道现在360杀毒是个什么情况?很久没啥大更新啦!
yoontell
发表于 2017-10-13 10:49:59 | 显示全部楼层
哈哈
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 13:16 , Processed in 0.136577 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表