|
||||
隨著淘寶網購的越來越普及,“淘寶返現”的網站也越來越多。這裡所說的“淘寶返現”,是指有些網站商家,只要你通過他們提供的入口來購買淘寶上的產品,你就能享受一定的折扣,或者返還給你一定的現金。
可是,天下沒有免費的午餐,“淘寶返現”真的都有這麼好嗎?
近日,AVG中國病毒實驗室就截獲到一種暗地“用戶返現”的病毒。只要中了該病毒,用戶在淘寶上買東西時,這種病毒就根據用戶當前購買的產品信息,重新構造一個新的鏈接,這個新的鏈接不影響用戶的正常購買流程,但卻會以病毒制造者的推廣名義來購買。這樣,病毒制造者就牟取了一定的利益。經過AVG病毒分析師的研究,這個病毒制造者居然出自一家“淘寶返現”網站。
這個病毒重定向用戶訪問的淘寶鏈接的方式是在IE瀏覽器裡安裝了一個ActiveX控件。
我們知道,安裝合法的ActiveX控件是需要數字簽名的。病毒怎麼能獲得合法數字簽名呢?
病毒用的是免費證書來給自己簽名。病毒先從www.CA365.com上獲得免費的數字證書。CA365提供的免費證書當中有一種“代碼簽名證書”。下載該證書在本地安裝後,經過證書之間的一系列轉換,就可以給自己的控件簽名了。
所以病毒在本地執行的時候,首先釋放了一個cer證書,並導入到IE瀏覽器,用來保證釋放的控件的簽名被識別為合法。
釋放證書:
導入證書:
然後病毒就釋放惡意的ActiveX控件,並調用Regsrv注冊控件:
這時我們可以看看病毒的數字簽名:
這時,惡意的ActiveX控件已經成功安裝了。我們打開一個淘寶產品鏈接看看:
我們看到,我們已經被自動重定向到了一個非淘寶的頁面(為了保護用戶的利益,在發稿之前我們已經做了安全處理,所以此網站已經無法訪問)。而實際上這個頁面會繼續把用戶重定向到淘寶的相應產品的頁面,只不過已經是個新構造的鏈接,而這個鏈接會以添加病毒作者的推廣信息。所以說,用戶在被病毒偷偷地以病毒作者的身份進行“淘寶返現”購買商品了。
重新組合淘寶鏈接代碼:
此外,該病毒還有昇級功能:
目前該病毒已經被AVG檢測為Clicker。
這裡,AVG不得不建議熱衷於網購的朋友們,網購的時候千萬要帶好“安全保鏢”,及時更新的您安全軟件的病毒庫,定時查殺,以免在不知不覺中遭到損失。