支付宝钓鱼诈骗样本--nis2011悲剧了（更新傲游、搜狗浏览器）

wjcharles

样本地址 [Edited by ikimi]
希望有人向铁壳官方上报说明这类样本的特殊性，相信在sonar里加条规则或监测点就完全没问题了。。。

样本双击后提示，有点假





其实。。。





npe：




登录支付宝，注意红箭头所指，这是最直观的一个辨别方法




点击充值：




注意，此时支付宝向网银的订单确认页面刚开始加载




加载完毕后看看发生了什么变化




点击支付




注意，地址跳转了，相当于从这个网站（支付平台）向工商银行发起付款订单




替换网银的付款订单后又转回了正常的工行付款界面，此时页面还未加载完成，还是有明显破绽的





页面加载完成后就基本没破绽了




此时如果输入网银帐号密码的话你的钱就付给了刚才昙花一现的那个支付平台，此时不论你口令卡、U盾还是其他神马，都是浮云！！


下面看一下正常情况，可以对比下




注意正常的支付宝商家信息



完

本来只想发一两幅图完事，没想到一发不可收。。。说实话，在那个钓鱼样本运行后，以我之前对支付宝钓鱼的认识，肯定也是是被骗无疑的。但整个过程截图下来，发现了很多以往被忽视的细节，相信我和认真看贴的饭友们应该对同类钓鱼样本能免疫了吧。
从样本区的回帖可以看到，传统的杀软只有eset和QVM报毒，微点主防也不出意外地挡住了。但要引起注意到是，这种钓鱼样本与一般大范围传播的病毒木马有很大的不同，这是所谓“一次性木马”，即只要成功一次它就完成任务了，一般用于高价值目标。这意味着木马的作者只要进行一次彻底免杀，把微点主防过了也不是不可能的。换句话说，如果你是第一个被攻击的人，单靠你的安软基本不能幸免（HIPS这种免杀不了的就另当别论了）。对于很多以牺牲极小部分首先接触用户为代价的云，这种木马也有着天然的免疫。
针对这种样本据我所知也只有360推出了专门的网购模式，但安软是落后于病毒的，尤其这种针对高价值目标的一次性攻击。因此相对来说，那些有交互的比如HIPS之类就比较安全。当然最安全的就是交易和支付在不同电脑上进行，物理隔离是最可靠的
还有人的因素，貌似可以说是最重要也是最不靠谱的。对大部分人来说，强的计算机安全意识固然可以在平时保持金身不破，但一个小小的疏忽就可能在这种高智商犯罪下马失前蹄。就目前情况来说，交易时用旺旺，不接收任何非文字信息算是最基本的要求了。。。

第一次发这么长的贴，不知是否够原创（不符请版主修改，明天不一定能上网），敬请楼下诸位轻拍


以下是nis的日志，全过程表现得非常安静智能，因为防火墙全放行了。。。


类别：防火墙 - 活动
日期和时间,风险,活动,状态,推荐的操作,类别,程序名称,程序路径,默认操作,采取的操作,本地电脑,通信说明

2011-03-07 21:46,信息,更新的防火墙配置: 312 个规则。,已检测,不需要操作,防火墙 - 活动,,,,,,
2011-03-07 21:46,信息,已自动为 支付宝安全控件 创建了防火墙规则。,受保护,不需要操作,,支付宝安全控件,C:\Windows\支付宝安全控件.CAB,不需要操作,自动创建规则,"LH-2UYY8QJXV2NM (172.16.12.96), 49180","出站 TCP, https"
2011-03-07 21:46,信息,更新的防火墙配置: 312 个规则。,已检测,不需要操作,防火墙 - 活动,,,,,,
2011-03-07 21:46,信息,已自动为 支付宝安全控件 创建了防火墙规则。,受保护,不需要操作,,支付宝安全控件,C:\Windows\支付宝安全控件.CAB,不需要操作,自动创建规则,"0.0.0.0, 9191","入站 TCP, 端口 9191"
2011-03-07 21:46,信息,更新的防火墙配置: 311 个规则。,已检测,不需要操作,防火墙 - 活动,,,,,,
2011-03-07 21:46,信息,已自动为 支付宝安全控件 创建了防火墙规则。,受保护,不需要操作,,支付宝安全控件,C:\Windows\支付宝安全控件.CAB,不需要操作,自动创建规则,"LH-2UYY8QJXV2NM (172.16.12.96), 49179","出站 TCP, www-http"
2011-03-07 21:46,信息,更新的防火墙配置: 310 个规则。,已检测,不需要操作,防火墙 - 活动,,,,,,
2011-03-07 21:46,信息,已自动为 支付宝安全控件 创建了防火墙规则。,受保护,不需要操作,,支付宝安全控件,C:\Windows\支付宝安全控件.CAB,不需要操作,自动创建规则,"LH-2UYY8QJXV2NM (172.16.12.96), 0","出站 UDP, 端口 53"
2011-03-07 21:46,信息,更新的防火墙配置: 309 个规则。,已检测,不需要操作,防火墙 - 活动,,,,,,
2011-03-07 21:46,信息,已自动为 UcTool 创建了防火墙规则。,受保护,不需要操作,,UcTool,C:\Windows\UcTool.exe,不需要操作,自动创建规则,"LH-2UYY8QJXV2NM (172.16.12.96), 49178","出站 TCP, www-http"
2011-03-07 21:46,信息,更新的防火墙配置: 308 个规则。,已检测,不需要操作,防火墙 - 活动,,,,,,
2011-03-07 21:46,信息,已自动为 UcTool 创建了防火墙规则。,受保护,不需要操作,,UcTool,C:\Windows\UcTool.exe,不需要操作,自动创建规则,"LH-2UYY8QJXV2NM (172.16.12.96), 0","出站 UDP, 端口 53"


还有Xuetr的检测结果，除了进程外貌似只有联网行为和两个挂在ieframe.dll上的消息钩子，还有host里添加了127.0.0.1  localhost（这个不确定）










更新傲游和搜狗测试结果

先是傲游2，同为IE内核，毫无疑问地上钩了，比IE更悲剧的是，那个挂锁标志没有任何异常




跳转瞬间地址同样被重定向




订单被替换后的网银支付界面出现了，与IE如出一辙




亮点来了，点击后退，出现一个以很高频率被刷新的页面，指向ieframe.dll，与Xuetr检测到的钩子有点关系吧？注意，正常的网银支付界面点击后退是不会发生变化的




再看搜狗的，兼容模式，一样上钩





高速模式免疫






搜狗的问题也在那个挂锁标志，因为全程都没有显示，无从判断安全与否

alskdjfhg

好帖，顶起，让更多的人知道是如何淘宝诈骗的，顺便寒一个我装的诺顿和金山卫士貌似都被过了

nag

好帖，顶起，让更多的人知道是如何淘宝诈骗的!

mixianfa

这个一定要顶了，我用的是Norton

皇影

感谢提醒

futureisfyl

KIS 3月8号更新后:

72380656

我比较喜欢任何新的程序要联网都提示的防火墙，而不是“智能”的

soulkylin

请问这个只是针对IE吗？

kfsilence

这个要支持一下。
使用支付宝的人必看。

wjcharles

72380656 发表于 2011-3-8 09:06
我比较喜欢任何新的程序要联网都提示的防火墙，而不是“智能”的

nis也有手动模式的，但需要练习，手动的白名单与自动防火墙的是分开的