|
||||
隨著中國傳統假日春節的來臨,木馬產業鏈開始了新一輪的『話題攻擊』,AVG支援中心提醒用戶,謹防木馬和下載器的攻擊,隨時更新病毒庫做好應對措施。
由於反病毒軟件的日新月異,木馬制造者為了獲得利益,也在不斷的更新木馬種類,這對反病毒工作來說是一項極大的挑戰。同時,為了達到誘騙用戶點擊木馬以運行惡意程序,木馬制造者多結合時事新聞話題,制造一些極具誘惑性的掛馬圖片或鏈接誘惑用戶點擊。而現在較為流行的種馬方式是在網頁中植入『下載者』進行攻擊。
下載者(Downloader)是一類計算機病毒程序,按照國際上的病毒命名慣例為『Trojan-Downloader』一類,這類木馬程序的主要內容為:指引中毒用戶的計算機到黑客指定的URL地址去下載更多的病毒文件或者木馬後門文件並運行,使得黑客獲得更大操作權限,為黑客後門技術奠定基礎。通俗的說,就是自動下載病毒的程序。
一般這類病毒體大小在幾百字節到幾KB之間,比一般的木馬程序要小的多,便於網絡傳播。網站掛馬通常掛的都是下載者木馬,因為下載者程序體積小,可以迅速下載執行,不卡IE瀏覽器。所以,不安裝殺毒軟件,一般很難發現。
下載者的沒有固定的形態,但所能實現的功能較多,通過下載者,受害主機會源源不斷的『被』下載越來越多的盜號木馬和各種CPA插件。反映在用戶身上,就是發現電腦運行越來越慢,以及不定時的自動打開各種網站。這對用戶的正常辦公帶來了極大的困擾。
截止上周末,AVG支援中心截獲了一個非常流行的下載者木馬『winsoft下載者』,它隨著『春節買票』、『轉讓車票』、『低價臥鋪車票』等熱門關鍵字而來。由於廣大用戶回家心切,上網時不太注重網頁的安全性,使得這種木馬有了可乘之機。同時由於支付寶的便利性,很多用戶被虛假的網頁釣魚,在非正規的網站『購票』造成了巨大的損失。
木馬利用瀏覽器的漏洞,隱藏在多個網頁當中,當用戶計算機存在安全隱患時,下載者利用漏洞自行靜默安裝在用戶的計算機上。
這些下載器以很多的形式出現,但是共同點就是指向的下載網址都是如下形式
http://app2.wi*****0.com
http://app2.wi*****1.com
………………
http://app2.wi*****101.com
下載器會嘗試去循環檢查以上的鏈接是否可以可用,如果可用則發送Http Get的請求,根據服務器端的返回內容進行進一步的操作。
經AVG支援中心檢測,發現該下載者存在以下顯著特點:
1、指向的下載網址可變,不易被阻斷,下載地址的大部分是固定的,變化的只是數字部分,變化范圍從1-101.活躍的鏈接也是變化的。(可見這條木馬產業鏈上,木馬制造者投入了多個域名進行攻擊。)
2、下載的內容可變,服務器可以靈活調整傳輸到用戶系統的病毒文件,從目前的檢測來看,主要以針對主流游戲的盜號木馬居多。
3、下載行為隱蔽,不易被發覺,研究人員發現病毒在發送Http請求時,有一個參數標識著當前用戶的特征,如果這個標識在服務器已有記錄,則不會重復下載,因此下載器並不是長期活躍在用戶的系統中,給查殺帶來一定困難。
目前,在安裝AVG全功能安全軟件2011的計算機上,已可以做到自動阻斷winsoft下載者病毒。如果您的計算機上還未安裝殺毒軟件,我們推薦您安裝AVG的免費殺毒軟件: http://www.avg.com/cn-zh/china-homepage
同時,AVG再次提醒廣大用戶,春節期間謹防『話題攻擊』,為自己的愛機安裝殺毒軟件以免受不必要的損失。