AVG·北京

新闻中心

more

相关资料

more

所获奖项

view more awards
现在位置:首页 >> 新闻中心 浏览正文

病毒伪造数字签名,小心“淘宝返现”陷阱

随着淘宝网购的越来越普及,“淘宝返现”的网站也越来越多。这里所说的“淘宝返现”,是指有些网站商家,只要你通过他们提供的入口来购买淘宝上的产品,你就能享受一定的折扣,或者返还给你一定的现金。

可是,天下没有免费的午餐,“淘宝返现”真的都有这么好吗?

近日,AVG中国病毒实验室就截获到一种暗地“用户返现”的病毒。只要中了该病毒,用户在淘宝上买东西时,这种病毒就根据用户当前购买的产品信息,重新构造一个新的链接,这个新的链接不影响用户的正常购买流程,但却会以病毒制造者的推广名义来购买。这样,病毒制造者就牟取了一定的利益。经过AVG病毒分析师的研究,这个病毒制造者居然出自一家“淘宝返现”网站。

这个病毒重定向用户访问的淘宝链接的方式是在IE浏览器里安装了一个ActiveX控件。

我们知道,安装合法的ActiveX控件是需要数字签名的。病毒怎么能获得合法数字签名呢?

病毒用的是免费证书来给自己签名。病毒先从www.CA365.com上获得免费的数字证书。CA365提供的免费证书当中有一种“代码签名证书”。下载该证书在本地安装后,经过证书之间的一系列转换,就可以给自己的控件签名了。

所以病毒在本地执行的时候,首先释放了一个cer证书,并导入到IE浏览器,用来保证释放的控件的签名被识别为合法。

释放证书:

导入证书:

然后病毒就释放恶意的ActiveX控件,并调用Regsrv注册控件:

这时我们可以看看病毒的数字签名:

这时,恶意的ActiveX控件已经成功安装了。我们打开一个淘宝产品链接看看:

我们看到,我们已经被自动重定向到了一个非淘宝的页面(为了保护用户的利益,在发稿之前我们已经做了安全处理,所以此网站已经无法访问)。而实际上这个页面会继续把用户重定向到淘宝的相应产品的页面,只不过已经是个新构造的链接,而这个链接会以添加病毒作者的推广信息。所以说,用户在被病毒偷偷地以病毒作者的身份进行“淘宝返现”购买商品了。

重新组合淘宝链接代码:

此外,该病毒还有升级功能:

目前该病毒已经被AVG检测为Clicker。

这里,AVG不得不建议热衷于网购的朋友们,网购的时候千万要带好“安全保镖”,及时更新的您安全软件的病毒库,定时查杀,以免在不知不觉中遭到损失。

想要得到更多的安全保护,欢迎登陆www.avg.com