改进版支付宝钓鱼过nis

显示全部楼层 · 发表于 2011-11-22 12:52:13

wjcharles 发表于 2011-11-22 12:45
不好意思，中间一个页面我忘了放了
选择网上银行支付，随便选一个进去

看到了，谢谢，

显示全部楼层 · 发表于 2011-11-22 12:53:49

leisong 发表于 2011-11-22 12:52
看到了，谢谢，

没想到现在还有效，以前基本过夜就失效的

这样测试根本不会涉及到你的银行卡卡号，很安全

显示全部楼层 · 发表于 2011-11-22 13:00:18

wjcharles 发表于 2011-11-22 12:51
不要选择支付宝卡通，要选网上银行支付，像我那副图一样

我看到了，正常情况下，默认的银行下一步是确认充值，而中毒后“确认充值”被这个被木马的“支付宝卡通支付升级中”这几个覆盖，逼着你重新选择银行，劫持就是在选择银行过程中发生。不知道为什么默认银行不能直接劫持？

显示全部楼层 · 发表于 2011-11-22 13:07:56

本帖最后由 leisong 于 2011-11-22 13:09 编辑

wjcharles 发表于 2011-11-22 12:53
没想到现在还有效，以前基本过夜就失效的
这样测试根本不会涉及到你的银行卡卡号，很安全

下面是正常的和被劫持的支付页面，区别很明显，非常感谢！360全程都不能防，测试见360区

显示全部楼层 · 发表于 2011-11-22 13:09:41

本帖最后由 wjcharles 于 2011-11-22 13:14 编辑

leisong 发表于 2011-11-22 13:00
我看到了，正常情况下，默认的银行下一步是确认充值，而中毒后“确认充值”被这个被木马的“支付宝卡通支 ...

你的默认不是传统的网银支付，而是快捷支付或支付宝卡通
网银支付的模式是支付宝生成订单，点下一步的时候跳转到银行的支付页面，同时提交订单到银行网站，接下来就跟支付宝没关系了，付款操作都在银行界面进行。因为有这个订单的提交过程（或者说这个跳转到支付宝外其他网站的过程），比较容易被重定向利用。
快捷支付和支付宝卡通好像是直接在支付宝页面内完成转账的，相当于订单的提交过程和银行网站的验证过程直接由支付宝代劳了，如果用类似的攻击手法就几乎不可能了

显示全部楼层 · 发表于 2011-11-22 13:23:15

wjcharles 发表于 2011-11-22 13:09
你的默认不是传统的网银支付，而是快捷支付或支付宝卡通
网银支付的模式是支付宝生成订单，点下一步的 ...

谢谢！明白了。

难怪木马要把快捷支付的“确认支付”覆盖成“支付宝卡通支付升级中”，有意思的是，我这里网速慢，快捷支付时，能看到“确认支付”被“支付宝卡通支付升级中”覆盖的过程。哈哈。。。。。

显示全部楼层 · 发表于 2011-11-22 13:28:24

还好我用支付宝直接绑定的。

显示全部楼层 · 发表于 2011-11-22 13:51:25

木马作者越来越“上道”了，可惜某些地方仍然处理的不是很好啊。

显示全部楼层 · 发表于 2011-11-22 15:32:46

这个也太坑爹了吧！如果扫描出有毒会不会把系统文件给杀了！

显示全部楼层 · 发表于 2011-11-22 17:01:03

感谢楼主提供。山山的官人在分析。
初步分析是 cmd加载了带数字签名的dll。这个是恶意行为的执行体。

[原创] 改进版支付宝钓鱼过nis

本帖子中包含更多资源

本帖子中包含更多资源