# 一个支付宝木马的分析溯源之旅
**Author: 360天眼实验室**
0x00 引子
=======
* * *
人在做,天在看。
与网络的黑暗面斗争中,我们看到太多的年轻人陷入黑产的陷井,少数人暴发横财及时收手还能全身而退,多数人身处产业链的底端所得不多却受牢狱之灾。年轻人是国家的未来,他们敢想敢干而又无知鲁莽,希望他们不要为一时的无知付出太大的代价,今天的这个文章可以算作一个警醒,千金不换回头路。
网络从来就是一把双刃剑,越来越便捷的知识传播让广大的网络黑产工作者们只需简单修改别人的代码就可以制作出所谓的原创木马病毒,并进一步出售进行获利。近期,360天眼实验室拦截到一类盗取用户支付宝余额的木马,追根溯源揪出了木马制造者及一批木马放马者,而背后的造马者竟是一个高三学生,我们想说考不考得上大学还在其次,这位同学现在最应该读一下网络犯罪相关法条立即收手以免终身受此所累。
0x01 样本分析
=========
* * *
为了对抗查杀,使用易语言做木马开发极其常见,我们所看到的这个样本即是如此,相关的信息如下,供大家参考。
木马文件MD5: 1976f6cbbc32fcbd7eaa75318642a182
尽管分析起来有点麻烦,但搞清楚木马行为只是时间问题,主要包括:
* 代码加入花指令,对抗分析调试
* 过期自动失效(失效后想再次使用木马就要向木马作者缴费再次购买)
* 访问腾讯微博、新浪微博链接地址获取支付宝交易的钱数、次数、频率
* 开线程监控用户的支付宝转账操作,同时将转账地址替换成放马者指定的支付宝账户
### 加入花指令,对抗分析调试
部分花指令如下:
### 判断木马是否过期
过期时间是2016年1月14日,如图:
### 访问微博链接获取交易欺诈参数
访问`http://t.qq.com/q912xxx937`微博地址,匹配出木马所需的信息,微博内容为:
解密出微博地址:
访问腾讯微博地址,得到微博内容:
从微博页面中匹配“支付宝读取头部”和“支付宝读取尾部”,匹配出木马预留信息:
获取到页面数据后,通过作者预先写好的开始标记和结束标记读取到用到的数据:
从微博读取到的支付宝所需数据格式为”13267932191|1100|80|1100″,其中的13267932191表示支付宝账号,1100表示快捷金额,80表示触发金额,1100 是最大限额。当然,如果腾讯微博格式发布信息格式不正确,木马还会弹窗报错,提示发布正确格式的微博内容。
对于木马转账的支付宝账号:13267932191,推测应该是一个手机号,从搜索引擎搜索结果得知,手机归属地是广州惠州的,如图:
### 账号替换
木马程序打开后起线程不停查找浏览器的窗口,直到浏览器的地址栏包含alipay字符后,木马开始对支付过程进行劫持:
调用易语言的类库,获取当前的URL地址,用于判断用户是否正在进行支付操作。
如果用户正在进行支付操作,就查找`https://personalweb.alipay.com/portal/newhome.htm`网址中的`
请登录后查看评论内容