컴퓨터 지식 네트워크 - 컴퓨터 프로그래밍 - 낮과 밤의 변화 - 타오바오 트로이 목마의 계략

낮과 밤의 변화 - 타오바오 트로이 목마의 계략

?슈퍼 순찰팀은 최근 Trojan-PSW.Win32.Alipay.it(Baby Details.rar)라는 Alipay 트로이 목마가 특히 활동적이라는 사실을 발견했습니다. 이 트로이 목마 자체는 공격적이지 않지만 일단 사용자가 트로이 목마를 실행하면 트로이 목마는 백그라운드에서 Alipay 모니터링 프로그램을 공개합니다. 모니터링 프로그램은 항상 Alipay 사용자의 거래를 모니터링하고 비밀리에 결제 페이지를 변경하며 도용합니다. 사용자의 거래 자금.

다음은 슈퍼순찰보안센터가 해당 트로이목마에 대해 상세하게 분석한 내용이다.

공격자는 타오바오 판매자로 가장하여 "Baby Details"라는 압축 패키지 파일을 다음으로 전송한다. 파일은 실제로 바이러스 모체가 사용되며, 최근 유행하는 데이터 중복 방법을 사용하여 안티 바이러스 소프트웨어의 클라우드 스캐닝 및 킬을 탈출할 수 있습니다. 일반적인 클라우드 스캐닝 및 킬은 트로이 목마를 전혀 식별할 수 없습니다.

그림 1(출시 전) 그림 2(출시 후)

사용자가 압축된 패키지의 파일을 실행하면 SystemRoot 디렉터리에 Helpchm.exe라는 파일이 생성됩니다. . 트로이 목마 공격 프로그램(Helpchm.exe).

그림 3 (트로이 목마 공격 프로그램 출시)

레지스트리를 수정하고 시작 항목에 Helpchm.exe를 추가합니다.

그림 4 (시작 항목 추가)

실제 공격 프로그램을 실행한다.

그림 5 (공격 프로그램 실행)

이때 xiangqing.exe는 모든 작업을 완료했지만, 교활한 공격자는 "Execution failed"라는 팝업창을 띄우는 것도 잊지 않았습니다. 창을 통해 피해자가 경계심을 완화할 수 있습니다.

그림 6

Super Patrol의 분석가는 실제로 트로이 목마의 주요 프로그램(xiangqing.exe)에 공격 기능이 없다는 사실을 발견했습니다. 하위 프로그램 프로그램(Helpchm.exe). 이 공격 서브루틴은 주요 안티 바이러스 소프트웨어의 클라우드 스캐닝을 피하기 위해 여전히 데이터 중복 방법을 사용하고 있으며 트로이 목마는 Delphi를 사용하여 작성되었습니다. 공격자는 특정 프로그래밍 기술을 보유하고 있으며, VC를 능숙하게 사용하면서 델파이에도 익숙하다는 것을 알 수 있습니다. Helpchm.exe가 시작되면 상주 프로세스가 되어 피해자의 네트워크 트랜잭션을 모니터링합니다. #p#subtitle#e#?

다음은 Super Patrol의 프로그램 상세 분석입니다.

(IP: 117.41.243.115:80)로 데이터 패킷을 전송하여 네트워크 연결 여부를 테스트합니다. 열려 있습니다.

그림 7

그림 8

사용자가 알리페이 홈페이지(www.alipay.com)에 로그인했는지 여부를 탐지한 후 공격한다.

그림 9

로컬에서 가짜 Alipay 페이지를 생성합니다.

?파일 이름: c:\cashier.alipay.com.standardgatewaysingleChannelPay.html

그림 10

Alipay 페이지를 공격자의 가짜 웹페이지로 리디렉션합니다.

그림 11

피해자는 Alipay 거래를 할 때 Alipay를 통한 거래인 줄로만 생각합니다. 그러나 공격자는 계정 비밀번호를 훔쳐 해당 계정 비밀번호를 공격자.

그러면 공격자는 피해자의 계정으로 원하는 모든 작업을 수행할 수 있습니다.

그림 12(원본 웹 페이지)

그림 13(위조된 웹 페이지)

? 이 트로이 목마는 일반적으로 사용되는 데이터 중복 방법을 사용하여 클라우드 스캐닝 및 죽인 뒤 하늘을 훔쳐 날을 바꾸는 수법을 이용해 안티 바이러스 소프트웨어의 능동방어에 맞서 싸운다. 전체 프로세스는 백그라운드에서 조용히 수행되며 사용자는 이를 알지 못한 채 많은 양의 자금을 잃게 됩니다. 슈퍼 순찰 보안 센터는 사용자가 온라인 거래를 할 때 주의할 것을 권장합니다. 신뢰할 수 없는 판매자가 보낸 파일을 임의로 열지 마십시오. 트로이 목마일 수 있습니다. 또한 거래의 보안을 보장하기 위해 거래 과정 중에 은행 U-shield를 사용해야 합니다. 또한 바이러스 및 트로이 목마로부터 효과적으로 방어하기 위해 바이러스 백신 소프트웨어를 적시에 설치하고 정기적인 검사를 수행하여 시스템이 깨끗한지 확인하십시오. #p#자막#e#

上篇: Chengdu China Resources 24에서 Crowne Plaza New Hope Hotel까지 지하철 타는 방법 下篇: Maplestory 2 집에서 컴퓨터 게임을 하면 어떻게 피시방의 혜택을 받을 수 있나요?
관련 내용