支付宝钓鱼诈骗样本--nis2011悲剧了（更新傲游、搜狗浏览器）

显示全部楼层 · 发表于 2011-3-10 21:42:27

本帖最后由 villima 于 2011-3-10 21:43 编辑

先⊙﹏⊙b汗一个

幸亏最近没有去淘宝买东西

，另外，绝好的帖子，千万不能沉啊

显示全部楼层 · 发表于 2011-3-10 21:42:59

嗯，不错，要顶~

显示全部楼层 · 发表于 2011-3-10 22:48:50

我操，这个太危险了

显示全部楼层 · 发表于 2011-3-11 00:14:08

所谓的下载图片就是木马，是一个可执行文件。某论坛一网友已被钓了。

显示全部楼层 · 发表于 2011-3-11 01:02:52

这种东西更多的是靠人为的安全意识

显示全部楼层 · 发表于 2011-3-11 01:20:43

host里添加了127.0.0.1 localhost这个属于无害操作，那个进程应该才是猫腻所在，其作用应该是监控各浏览器的运行，对浏览器进行插进程/修改内存类的动作。

显示全部楼层 · 发表于 2011-3-11 01:22:56

回复 8楼 soulkylin 的帖子

不只IE，木马作者想到几个浏览器几个浏览器就挂，看楼主的截图目前成功的挂掉了IE及不少IE内核的浏览器，如果愿意的话挂掉其他浏览器也不难，问题是……别的浏览器能完整的用支付宝的不多。

显示全部楼层 · 发表于 2011-3-11 01:33:02

忧郁的迷糊酱发表于 2011-3-11 01:20
host里添加了127.0.0.1 localhost这个属于无害操作，那个进程应该才是猫腻所在，其作用应该是监控各浏览器 ...

但我用Xuetr检查了，并没有dll插入到ie进程里，除了木马本身进程外只有那两个钩子，很奇怪

显示全部楼层 · 发表于 2011-3-11 02:16:17

本帖最后由忧郁的迷糊酱于 2011-3-11 02:28 编辑

回复 98楼 wjcharles 的帖子

刚刚看错了，修改下。不用一定要依靠插Dll来完成对浏览器的控制，有一个在运行的进程足矣。估计这个毒能过掉不少手动+套用规则的HIPS，因为我翻过的很多作者的大众规则都对浏览器本身缺少保护，目前来看他的动作应该就是运行-然后进程直接通过消息/修改内存/直接操作线程来完成的，你说的俩钩子估计就算他的。就两个动作。对于多数大众规则来说除非禁运流直接禁运掉，否则运行起来的话还真悬乎。微点能防御住也挺不容易的，判断点估计挺难找。.
最后一个截图中的完成支付页面居然也有金锁标志，木马作者不会是用了“加盖假冒信息的一层，下层只露出一个真实的确认按钮”这种手段来完成信息的篡改的吧？也太阴险了。

显示全部楼层 · 发表于 2011-3-11 08:00:42

回复 65楼 wjcharles 的帖子

感谢楼主分享经验，我现在也在单奔nis，不知要怎么样搭配才更安全，用ie的防不住，那用ff chrome能防住吗，还是非要加个卫士神马的呢

[原创] 支付宝钓鱼诈骗样本--nis2011悲剧了（更新傲游、搜狗浏览器）