瑞幸的问题出在哪里_瑞幸发现木马程序

hacker|
175

app内有木马病毒有资金风险

使用借贷APP一定要从正规渠道下载,现在一些新型网络贷款团伙通过在APP中嵌入木马病毒来控制借款人手机,从而达到催收回款的目的。近期,上海警方就打掉了一个这样的团伙,涉案成员遍及全国各地。

软件嵌入木马病毒

今年8月,上海警方接到吴先生报案,称其受到了暴力催收。吴某表示,8月初其在一网站论坛上看到一款贷款广告,宣称不需要提供个人征信并且放款快,只需要在申请借款时向工作人员提供手机的品牌及具体参数即可,这让他很心动。

在与客服交流中,吴先生得知放贷额度是根据其手机回购价值进行评估,一般按照20%发放,所以需要提供自用手机的详细参数。吴先生向客服提供了手机的相关信息和登录账号后,得到了客服发来的链接,吴先生打开链接下载了一款名为“聚宝盆”的贷款软件。

客服告知吴先生,评估其手机价值后得到其贷款额度为400元,但实际只能放款200元,剩下200元将作为利息收取,3天后吴先生总共需还款400元,如逾期,每天将收取100元的逾期费。得到吴先生的认可后,客服给他转账200元。

3天过后吴先生未按时还款,这时发现自己的手机无法正常操作,就连恢复出厂设置也不能使手机恢复正常,客服告诉吴先生,这是因为未还款导致手机被锁死。吴先生于是向警方报案。

警方在调查中发现,这是一起以品牌手机贷的名义实施高息套路贷的骗局。今年9月,警方在掌握具体证据后对该团伙进行了抓捕。据了解,27岁的朱某是团伙核心人物,他委托技术人员开发了名为聚宝盆的手机软件,该贷款软件实质嵌入了木马程序,能在后台远程控制下载软件的手机。在业务开展过程中,朱某发展了冷某等下线,教会其使用该木马程序远程控制他人手机。冷某还在辽宁租赁办公场所,制定放款额度、提供收款账号,同时雇佣杨某、王某、赵某等人进行放贷、催收、锁机等操作。

今年7月起至9月该团伙落网,涉案流水金额超过50万元,非法获利逾26万元。目前,朱某、冷某等5人因涉嫌非法经营罪被检察机关依法批准逮捕,其余8名犯罪嫌疑人已被采取刑事强制措施。

窃取隐私信息意在控制用户

通过下载工作人员发送链接中的借贷APP软件造成损失的案例比比皆是。因为没有经过正规应用商店的筛选,许多软件被轻易嵌入木马插件,轻则收集用户隐私信息,严重则直接让用户的机器瘫痪。

在相关新闻报道中,一些小型贷款机构为催回款项,喜欢在贷款APP中嵌入一些程序,实时获取用户的具体位置。有用户在黑猫投诉上反应,其在一款借贷APP上借款逾期之后,实时收到了自己所在位置的短信,他怀疑自己手机被监视了。

一些网贷APP嵌入的木马病毒并不会随着应用卸载而消失,在相关论坛中,有讨论者表示,他卸载了APP之后,新录入的联系人信息仍然泄露出去,并且被催收公司发送骚扰信息。专业人士表示,这种情况的出现是因为手机之前下载的APP被嵌入了插件或木马,即使卸载软件,插件还是存在手机里,继续窃取用户隐私信息。用户一般通过格式化手机可以达到彻底清除病毒。

在常见恶意催收方式中,还有通过读取债务人手机相册和媒体文件,并将隐私照片发送给债务人的情况。这种方式虽然并未通过嵌入插件等方式来非法获取,而是通过在默认同意的“隐私协议条款”加上授权读取相关隐私信息的选项。但这种过度搜集信息的方式仍然是不合规的,特别是个人信息保护法实施后,过度搜集与提供的服务无关的个人信息将会受到严厉打击。

恶意催收的屡禁不止一定程度上也反映出借贷平台对逾期坏账的担忧。一些平台因为前期风控问题在放贷过程中授信不严格、审核不规范等,导致后期需要催收的逾期贷款居高不下。面对一些老赖和撸贷族的恶意逃废债,这些机构通过正规催收方式催回款的占比极低,于是它们选择了铤而走险的方式。而其他大型的委外催收机构,面临的同业竞争加剧,也需要提高自己的催收回款能力,在给业务员施加极大的业务要求时,没能开发出更优质的催收方式,这也导致了使用违法催收方式的增加。

什么叫木马程序?

木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。

电脑进程里有个木马进程是不是很安全?

不对。

针对于顽固木马来说,后台进程是带有第三方驱动保护无法关闭的,另外木马带有伪装性,一般是找不到真正的木马进程的,如果发现木马首要做的就是进入安全模式,然后对电脑进行病毒查杀,因为安全模式禁止第三方驱动自启动,所以是最安全的。

在安全模式下,打开电脑管家等带有本地杀毒引擎的杀毒软件如腾讯电脑管家,对电脑进行病毒查杀,查杀病毒后再重启电脑即可。

扩展资料:

第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。

第二代,在技术上有了很大的进步,冰河是中国木马的典型代表之一。

第三代,主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。

第四代, 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。

每次开机都出现这个木马程序 Backdoor.Win32.Hupigon.bxs

backdoor.win32. 顾名思义即“灰鸽子后门木马”,制作者把此木马的终端文件制作成一个大小仅为270-280k的自释放安装的压缩包,而恶意散布者则通常将其夹在某些文件、电影或程序的压缩包内以达到掩盖的目的,这样的“大压缩包”通常形式也是一个【自释放压缩包】,但它与一般的自释放压缩包不同在于——散步者在压缩包的〖注释〗里加入了这样几行命令参数:

;下面的注释包含自解压脚本命令

Setup=XXX.exe

Silent=1

Overwrite=1

(XXX表示“灰鸽子”木马真实文件的伪装名称,通常会是诸如“某某软件名”、“色情网站密码”等等诱惑性名称,大家务必自省自制!!!)

注意:就是这样几行脚本命令,使得你在警惕性不高的情况下、随意自解压【大压缩包】的同时,真正的“灰鸽子”木马注入文件即“XXX.exe”将在电脑后台以完全静默方式完成“注入”!!!——之所以你察觉不到它注入的过程,就是“Silent=1”这条命令产生的效果。于是,“灰鸽子”木马便这样悄然地进驻你的电脑 里。

从这个注入过程的分析,大家可以看出,防止“Backdoor.GPigeon.uac”即“灰鸽子”木马进驻电脑的最主动措施是大家自己平日里使用电脑时多访问正当、有益的网站或网页,即便为了获取软件注册工具(当然我还是希望大家尊重知识产权,积极付费使用正当软件)也要到诸如“华军”、“太平洋”等大站去,不要轻易相信网络上由不明身份的小网页、黑网页提供的所谓“软件注册机”,更不要相信所谓的“成人资讯网站免费会员帐号/破解密码”之类的网络垃圾信息。

一旦Backdoor.GPigeon.uac被注入你的电脑,一般情况下最近的各种杀毒软件是能够截杀它,但是不能完全、彻底地清除木马的“毒根”,究其原是因为“灰鸽子”的的*.exe文件不能被各杀毒软件查到——“灰鸽子”不属于定时发作型木马,只在每次电脑启动到系统正常这一段很短的时间内发作,主文件被注册成一个服务,每次正常启动将释放*.dll和*_hook.dll病毒体,把他们注入像explorer.exe,iexplore.exe,csrss.exe,lsass.exe等系统进程,因此各种杀毒软件可以查出并及时截杀,但总不能找到“毒根”。有的朋友常会误认为安全模式下可以用杀毒软件杀掉它,但事实上是安全模式下不启动服务,因此所有的*.exe没有被激活,当然病毒体也不例外,那么它注入病毒体的过程也不发作,而多数杀毒软件引擎以病毒运行特征为监视手段,没了“注入”这一特征性动作,杀毒软件又从何发现病毒呢?所以安全模式下多数杀毒软件也不能捉到病毒。

但这并不意味着无法根本、彻底地清除“毒根”,在此以我个人的一次清除过程为例给大家推荐一种方式,彻底地清除“灰鸽子”:

1)启动电脑前先完全断开网络,并安装一套最新的“木马克星”(我安装的是V5.50版本)

2)正常启动电脑,正常后运行“木马克星”,程序将会在系统内找到Backdoor.GPigeon.uac木马的可疑文件,我这次发现的是在c:\windows文件夹下的“win32.exe”文件,木马克星会提醒你是否删除此文件,结果是不能被删除,为什么呢?我就在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项,按“确定”按钮。电脑内的所有文件就能完全显示,我再访问c:\windows文件夹,果然在其中找到“win32.exe”文件——文件图标是一个很普通、很不起眼的图标,它被设置成“指读”、“系统”、“存档”文件而起掩饰作用。我尝试直接将其删除,结果仍是无法删除,提示是“系统正在使用,文件处于保护状态”。

3)重启电脑,并按F8进入安全模式,再进入该文件,这时大家将能看到“win32.exe”文件的真实面目——它正是那个大小为260-280k的文件的复本,仍是一个自释放型压缩包,也就是它,每次电脑启动时它均会将内含的病毒注入explorer.exe,iexplore.exe,csrss.exe,lsass.exe等系统进程。最后,当然是删除此文件!

4)再次重启,在安全模式下,点“运行”,输入“regedit”,进入注册表,在“查找”项内输入病毒文件名,这里是“win32.exe”,经过搜索,将所有相关的注册表键值删除。

5)重启电脑,在正常情况下,运行“木马克星”,扫描结果是:无可疑木马。结果证明了我们采取的手段没有错。

另外,对于使用瑞星杀毒软件的朋友,通常在中毒之后,在完全断开网络的情况下启动电脑,如果您打开了瑞星的“开机扫描”功能,那么瑞星是能够截杀被注入后的病毒的,但也同样需要经过上述手法彻底清除病毒。而且在彻底清除后,再次断网启动,您会发现病毒没有了,截杀病毒的通报也不会出现了!

0条大神的评论

发表评论