举世瞩目的2008北京奥
网站架构收集
Aug
10
今天把卡巴斯基(Kaspersky)互联网安全套装7.0升级到了全功能安全软件8.0,在浏览支付宝(www.alipay.com)时发现其提示我ALIDEVICE要访问键盘记录,猛地想起之前支付宝安全控件的一次更新,于是马上查看支付宝安全控件相关文件的情况。
打开C:\Windows\System32\aliedit,发现aliedit.dll和pta.dll的修改日期都是2008/7/14 9:42,这才放心了。前边又一次发现这两个文件的修改日期不一样,且aliedit.dll的变成了7月2*日的,现在想起来估计是被做了替换。
但是入侵者是如何做的替换呢?
要说控制了我的机器然后更改,这基本没可能,我的NB一直在家里用,而且我用的时候开机,不用就关机,用的时候也没发现有被控制的异常,卡巴也很负责,没有发现什么问题。更何况家里用了路由,做了一些措施,想进来不是那么容易的事情。
如果的确是有人蓄意入侵,那一个可能的手段就是之前公布的DNS漏洞。大致做法就是将支付宝的HTTPS重定向到另外一个一样的页面,然后浏览器一样会提示你下载新的控件,但是这个控件文件则是被入侵者做了手脚的,更新本地文件后就成了一个木马……
Oops……各位看官如果有使用支付宝功能,请速速检查你的这两个文件,如果日期一致且早于2008/7/14 9:42,那么可能你用的还是旧版本,尽快去www.alipay.com更新控件(当然,前提是保证你的网络连接是安全的);如果二者的日期不一致甚至有晚于2008/7/14的,那么你很可能已经感染了病毒或木马,赶快杀毒吧。
(本文内容仅代表个人观点,所述内容在2008年8月10日前有效(之后支付宝更新了控件就要重新验证这两个文件的修改日期))
打开C:\Windows\System32\aliedit,发现aliedit.dll和pta.dll的修改日期都是2008/7/14 9:42,这才放心了。前边又一次发现这两个文件的修改日期不一样,且aliedit.dll的变成了7月2*日的,现在想起来估计是被做了替换。
但是入侵者是如何做的替换呢?
要说控制了我的机器然后更改,这基本没可能,我的NB一直在家里用,而且我用的时候开机,不用就关机,用的时候也没发现有被控制的异常,卡巴也很负责,没有发现什么问题。更何况家里用了路由,做了一些措施,想进来不是那么容易的事情。
如果的确是有人蓄意入侵,那一个可能的手段就是之前公布的DNS漏洞。大致做法就是将支付宝的HTTPS重定向到另外一个一样的页面,然后浏览器一样会提示你下载新的控件,但是这个控件文件则是被入侵者做了手脚的,更新本地文件后就成了一个木马……
Oops……各位看官如果有使用支付宝功能,请速速检查你的这两个文件,如果日期一致且早于2008/7/14 9:42,那么可能你用的还是旧版本,尽快去www.alipay.com更新控件(当然,前提是保证你的网络连接是安全的);如果二者的日期不一致甚至有晚于2008/7/14的,那么你很可能已经感染了病毒或木马,赶快杀毒吧。
(本文内容仅代表个人观点,所述内容在2008年8月10日前有效(之后支付宝更新了控件就要重新验证这两个文件的修改日期))
对《关于支付宝安全控件需要注意的一个地方》有 1 条评论