“双十二猎手”木马来袭 专偷网购资金

海豚先生

12月12日消息，360安全卫士微博发布木马警报称，一类专门瞄准“双十二”网购消费者的木马活跃度迅速增加。此木马属于网购木马家族的一个分支，从今年6月份开始已经变种多次。最新的“双十二猎手”变种尤其凶悍，其特点包括：

一、利用nmake工作执行脚本，导入注册表键，实现开机自启动；

二、利用命令行版XueTr（一款手工杀毒工具），加载驱动破坏杀毒软件，感染WgaTray.exe做开机启动项；

三、该木马安装程序还带有运行时间判断，过了2013年12月12日，安装程序将不再安装木马；


四、全面打劫各大电商网站的交易和网银支付，把支付资金劫持到第三方平台购买游戏点卡或转账。

360安全卫士和360杀毒具备对木马利用nmake的拦截能力，可以将“双十二猎手”木马消灭在萌芽状态。而其他一些杀毒软件，经测试会被“双十二猎手”强制破坏，无法启动。

如果网友发现自己使用的杀毒软件无故退出、无法启动，这是“双十二猎手”的恶意驱动已经控制了系统，建议下载使用360系统急救箱http://www.360.cn/jijiuxiang/index.html，查杀木马后即可恢复正常。

“双十二猎手”木马技术分析

几个传播量最大的木马样本：


木马启动后，释放一组文件到“C:\Program Files\淘宝实物图”目录下，并在桌面新建“淘宝实拍图”的快捷方式，这个快捷方式指向的是微软的nmake文件。


nmake文件，本身会去执行makefile文件中的脚本，本来是要做一些编译调度的工作。木马精心构造了一个makefile文件，用来安装木马程序。这种方法，是今年比较流行的新白利用（也称为“白加黑”）手法。


通过nmake导入的一个注册表文件，文件是Sysinternals的PsExec工具的授权项，木马安装程序准备利用PsExec工具来写注册表，所以先导入了它的授权：


木马的安装脚本中判断了当前的系统时间，如果过了2013年12月12号，木马将直接退出，不进行安装。


将木马的引导器写入启动项，同时替换系统的wgatray文件。


被木马替换的wgatray程序，这个程序是微软用来进行正版验证的，网上有很多通过修改这个文件破解微软操作系统的程序。这个程序被感染之后，如果杀软无法修改，将造成木马杀而不死的情况。


木马已经被写入了启动项，初步完成安装，重启计算机：


重启之后，双十二猎手木马开始屠杀了，利用命令行版本的XueTr，删除杀软的文件：


被利用的命令行版XueTr：


之后加载驱动，结束杀软进程，木马开始了其真正的工作——网购盗窃。

小伙伴们，双十一是不是还没抢够的，双十二还要再买两件新衣服？木马也这么认为……

神马天猫淘宝支付宝、招行农行工建中、京东易讯财付通，统统打劫了去。


付款时订单金额被修改，实际上订单已经被转到他人买点卡了或者网银转账了：


木马的通信数据包：


里面包含实际的收款人信息：小伙伴们买东东的钱，都被无情的转给了这个人：


防御措施

早在今年6月份，360已经率先拦截了此类网购木马分支，并完善主动防御规则。“双十二猎手”变种利用nmake执行，直接被360安全卫士阻止：


但某些被木马列为攻击名单的其他杀毒软件用户就没这么幸运了。经测试，这些软件目前还不具备防御“双十二猎手”的能力。木马被执行之后，下次开机，这些软件就已经被猎杀而无法启动了。


如果用其他软件而不幸中招了，可以下载360系统急救箱来补救，能够彻底查杀木马防止网购资金被打劫。

XMonster

利用XT...  好机智

22667999

看到了x霸和x管

猪头无双

手杀工具也不安全了

wuxiaotu

36x自己造出来的样本吧？

Flameocean

牛，利用XT干坏事了

kjjook

这黑的好彻底   多少折腾党赶紧换杀软去了

dama625

36X同志   够腹黑啊~~

wowocock

XT命令行版的白利用以前就有木马用过。这种木马查杀很简单，关键是防御。360这方面应该是做的比较好的。

peter08

嗯,又学习到了好多,必要时候我也修改下,哇哈哈.