安全专家谈：看守电子钱包的三道防线

自去年7、8月份以来，我在淘宝论坛、315网投诉网看到一些当时认为匪夷所思的怪事：某些用户在网上购物时，总是莫名其妙丢掉几百块或几十块。检查网上银行，发现钱已经汇出，但淘宝的系统显示那笔交易始终未支付，不少网民还会反复支付这笔钱。

我们一般认为https传输交易数据是安全的，是什么东西作怪，让支付环节出错，导致网民丢失财物呢？

为此，我曾细细体会淘宝、京东的购物流程，看看其中是不是存在问题，结果没有发现异常。再去找开发设计毒霸支付环节的程序员，他们告诉我的是，定单内容是可以被篡改的。如果有恶意程序篡改定单，就可能导致网民在支付时，将钱汇到支付宝外的其它帐号。但程序员只是分析了可能性，却没有任何一个现实的例子被跟踪到。

这些例子仍然每天都在315网站和淘宝论坛出现，在很长时间里，我没有发现任何一个受害者能够清晰的描述事件经过。我曾试图和一些受害者联系，希望能还原现场。但是发现很多人在上当之后求助无门，直接格掉了硬盘。受害者在网上购物时，都有一点发蒙的感觉，将钱汇给骗子的那一步，必定与用户的操作有关，几乎所有受害者都从骗子那里接收过文件，这个文件将揭开谜底。

与此同时，发现全国各地的一些新闻报道中也不乏类似案例。其中发生在武汉的一例比较清楚，警方将受害人的电脑交给了一个大学教授，这位大学教授从受害人电脑上找到了病毒程序，然后还原了木马抢钱的经过。

网购木马的特点

通过BD部门找到淘宝方面，他们已收集了大量案例。通过对样本的详细分析，木马抢钱的实现方法基本真相大白。这一切都是木马作怪，木马会在受害者点击支付的瞬即，将原来正常的，付款给支付宝的定单劫持到病毒作者指定的交易链接。这个新增的交易链接，往往指向另一个支付任务，多半是通过一些第三方支付平台去购买游戏点卡、手机充值卡等物品。在支付环节，无论是用户，还是单个的支付环节，似乎都没犯错，都在正常完成自己的任务。但一串正确的操作，连起来后，却是一个错误的结果：网民的电子钱包被盗了。

按照一般的解决方法，杀毒软件抓到网购木马，加入病毒特征，能够防御杀掉就算解决，但这是不完美的，无法克制网购盗贼。因为网购木马有这样三个特点：

1.网购木马仅通过QQ或旺旺传播。网购木马的感染量低，相对于其它影响巨大的病毒来说，网购木马一天只传播几百到上千台机器。但这种感染较低的病毒，却给受害者造成的损失却很大：在中毒电脑上发生的每一笔交易都将支付到病毒指定的帐号，受害者造成的损失比感染任何一个其他病毒更大更直接。

2.受害人收到的一般是压缩文件。病毒发给受害人之前都精心做过免杀，为了对付云安全，病毒甚至用垃圾代码把自己弄的很大，这个病毒的体积一般大于10MB。

3.网购木马抢钱的关键步骤，是在支付的瞬即跳转页面。当然这一步，只会被安全研究人员注意到。

三道防线看守电子钱包

网购木马是连续多个步骤协同完成抢钱操作，如果只针对病毒文件本身进行查杀，病毒绕过的可能性很大。很多杀毒软件只做了这一步，显然，这不是一个完美的解决方案。我们的方案是建立三道防线，每一环都令病毒抢劫的难度增加，让用户不受害。

第一道防线：阻止病毒程序接收

网购木马基本通过淘宝旺旺和QQ这两个程序来传播，而且网购木马大多是rar压缩包中的exe文件，这里最好依靠正版安全软件，来检查你收到的文件是不是病毒。

第二道防线：清理可疑进程

骗子在发送文件给你后，如果杀毒软件报警。骗子会说，那是杀毒软件乱报，骗你关闭杀毒软件。如果你照办，病毒就突破了第一道防线。接下来，网民这个时候是需要上淘宝购物的，安全软件检查到你正在访问一些与网购业务很密切的网站时，会立即检查内存。并同时提高安全等级，自动采用非白即黑的安全等级。

当发现当前系统有未被判断为安全的软件运行时，安全软件会立刻建议你终止这个可能有危险的程序。

你还可以将未知程序立即提交到安全软件服务器端进行鉴定，通常很快就会从服务器得到文件安全与否的结果，如果你淘宝购物时，收到对方一个文件，这个文件鉴定的时间较长，建议暂停交易，别急急忙忙下单。

昨天，我调戏一个小贼时收到的那个样本，在大约10分钟之后，返回结果为病毒。

第三道防线：制造一个欺骗木马的盗梦空间——沙箱

如果骗子还是诱使受害人运行了网购木马，突破了第二道防线，安全软件还有第三道防线在等着它。未知程序会在一个盗梦空间（沙箱）中运行，这些病毒是不知道的，它以为一切正常。因为盗梦空间（沙箱）的保护，病毒无法在交易的最后关头劫持定单到木马指定的特别帐户中，用户还是会成功的给支付宝充值，从而拍下骗子在网店中展示的商品。

支付宝可以成功收到钱，只要网民在没有收到商品之前不确认收货，这笔钱就属于用户自己。骗子一定会很无语，木马精心构造的陷阱就这样一环环被安全软件避开。骗子当然是没有商品发给你的，因为这个店一般是骗子用同样的手法从别人手里偷来的。

安全与攻击之间是无止境的猫抓老鼠游戏，网购保镖是目前来讲最成熟的网购保护方案，在这套方案的保护下可以确保网民电子钱包安全，并成为网购木马作者面前一道难以逾越的障碍。

未经允许不得转载：DOIT » 安全专家谈：看守电子钱包的三道防线