【51CTO.com综合报道】如果某天你打开了一个淘宝卖家发送给你的货物照片,打开时却显示错误。但是之后却发现自己的支付宝无法支付,而其中的钱款却不翼而飞。你一定不相信这是真的。事实上,你已经被一种恶性木马所感染。
卡巴斯基实验室最近截获到这种木马名为“在线支付劫持木马”( Trojan-PSW.Win32.Alipay.ib),危害性非常强。该木马会将自身图标伪装成图片文件,并添加“The KMPlayer”版本信息,迷惑用户点击运行。此外,为了避免被反病毒软件的云端捕获,木马作者对木马程序添加了大量且有规律的垃圾代码,使文件体积巨大(约400M),但压缩后体积只有几百KB,非常易于传播。一旦运行,会将自身拷贝至C:\Documents and Settings\Administrator\My Documents\taobao\s.exe。并利用多种手段实现开机自动启动。同时,会弹出提示“系统不支持”,使用户误认为是图片文件无法打开,实际上恶意代码已经被执行。如下图所示:
此木马会注入恶意代码至“services.exe”和“explorer.exe”进程中,监视用户是否打开支付页面。当用户支付时,支付对象会被修改,本应该支付给正常商家的金额会落入黑客手中,之后,木马程序会打开事先设计好的错误页面,如提示用户支付超时等。这样用户不但无法买到想要的商品,反而蒙受损失。
目前,卡巴斯基已经可以完美拦截和清除该木马程序。请及时更新反病毒数据库即可。同时,我们提醒广大网购爱好者,安装安全软件并保持其实时监控开启,同时,尽量不要打开他人发送的安全性不明的可疑文件。以免感染恶意程序造成损失。
