过NIS、npe的支付宝钓鱼样本，及临时简单防御手段

wjcharles

样本在此：http://bbs.kafan.cn/thread-996090-1-1.html
此样本过NIS那是必然的，静态和动态都过npe的系统和文件扫描，貌似也过360的网购保镖（见leison测试，http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037）

此样本的钓鱼过程与之前的并无很大差别（见此贴，http://bbs.kafan.cn/thread-926814-1-1.html），就不多分析了，本帖主要是抛砖，提供点简单、临时的防御补救手段

第一个手段，还是支付页面的安全挂锁标志，虽然是老调重弹，但最简单的有可能却是最有效的，具体如下

以下两幅图是IE9和傲游2在样本运行后的支付页面，注意地址栏右边的挂锁标志





这个样本不知何故验证码会异常显示，其他样本就没有这个错误了

以下两幅图是IE9和傲游2在正常情况下的支付页面，注意地址栏右边的挂锁标志





通过以上图片可以发现，
1.样本对支付页面修改后“https”仍然存在
2.针对样本对支付页面的修改ie9可以通过“挂锁”标志判断，而傲游“挂锁”一直存在，无从判断
3.按以往经验，ie8表现跟ie9一样，搜狗正常模式和傲游2一样，其他内核的浏览器免疫

所以手段一：用IE浏览器（8，9），时刻注意挂锁标志
补充：如果网银支持非IE内核的话，当然用其他浏览器更好了，但IE内核的只用原版IE


第二个手段，借助nis的应用程序分级。虽然样本过了npe，但还是可以用诺顿的社区信誉找出来（npe的BUG？）。
点击nis主界面的应用程序分级



就会自动出现当前运行进程的信誉情况，点击“信任级别”或"使用范围"进行排序，样本就无处藏身了



找到可疑进程后点击那个红叉，nis就可以结束进程并隔离文件




最后的总结：之所以说是临时补救的防御手段，一是因为样本已经运行了，二是木马作者可以改变程序使挂锁标志正常显示（我目前为止还没碰到过）或将木马以dll注入等手段做到无进程绕过nis（貌似nis2012会引入对进程dll的检测？）。

另外以上全文仅供参考，出现任何问题本人概不负责，欢迎各位指正

jefffire

你这是和淘宝钓鱼卯上劲了哈

wjcharles

jefffire 发表于 2011-6-1 19:39
你这是和淘宝钓鱼卯上劲了哈

这种样本试起来最安全

jefffire

wjcharles 发表于 2011-6-1 19:41
这种样本试起来最安全

最好的防范还是不贪图便宜，发现什么细节图的，统统死啦死啦地

陌染淡殇

感谢楼主分享，又学习了一招

鱼缸的猫咪

感谢分享学习了

klinxun

暂时就唯有这样子了，不知道啥时候才能比较好地防御。

猴纸

总之需要个人对电脑知识有一定了解，小白是100%会中招的

llawliet

我一般都用opera，chrome支付...金山报了吗？

挺恐怖的，不过吾木有网银/