|
||||
近日,360安全中心攔截到一批假冒殺毒軟件及系統補丁的木馬程序(FakeAV)。此類木馬通過惡意網頁偽造Windows彈窗,恐嚇訪問者電腦存在風險,借機將木馬安插到網民電腦中。據分析,FakeAV木馬具有篡改瀏覽器首頁,收集和上傳受害者信息,以及強制安裝多款播放器等危害,網民可使用360安全衛士將其攔截查殺。
安全機構研究報告表明,假冒殺毒軟件的木馬自從2006年開始流行,是國外十分猖獗的一種網絡詐騙手段。Google數據顯示,該類威脅已佔據全部惡意軟件的15%。就在不久前的6月份,美國警方聯合歐洲7國執法部門破獲一起假冒殺毒軟件詐騙案,涉案金額超過7200萬美元,而微軟也曾專門為刪除某款假冒殺毒軟件發布補丁。
根據360安全專家介紹,FakeAV木馬之所以能夠騙到不少網民,主要依靠網頁動畫制造出“電腦中毒”的假象。此前,一個名為“廣告炸彈”的木馬甚至設計出“電腦即將高溫爆炸”的圈套,欺騙網民付費購買某款軟件的注冊碼。如果網友將這類網頁關閉,所有“中毒”現象都會不治自愈。
專家提示,如果有網民電腦感染了FakeAV木馬,應及時下載使用360安全衛士進行全盤掃描,以免個人重要數據被木馬竊取。
附:FakeAV木馬分析
一:不法分子首先通過論壇鏈接、電子郵件等方式將用戶引導至hxxp://you-o.com/windows-safe/b.html,並彈出偽造“電腦中毒”現象的提示:
點擊確定後出現一個彈窗和下載鏈接,欺騙用戶下載:
該網頁還會提示訪問者修改主頁:
之後下載一個假冒Windows補丁的惡意程序(FakeAV木馬):
二、文件名為“Windowsxp-補丁kb20110807H.COM”的FakeAV木馬運行後,搜集用戶機器信息傳送到服務器端,並暗中下載推廣多款軟件。
l 獲取機器MAC,和機器描述信息
l 向網站
hxxp://vip.yaqio.com:9999/Submit.php?id=1&action=inst&mac=00-0C-29-20-3A-7E&lockcode=-11413"提交用戶的信息
從hxxp://d.15587.com/ie.bmp將惡意軟件暗中下載到臨時目錄
下載結束,執行木馬文件
下載和執行,內含3個軟件靜默安裝的推廣包,也就是用戶電腦中會莫名其妙的多出三個軟件。
"C:\Program Files\Kuping_s_8560.exe"
hxxp://d.15587.com/Kuping_s_8560.exe
hxxp://d.15587.com/FunshionInstall.exe
hxxp://d.15587.com/PPTV(pplive)_forqiqi_0003exe.exe
帶有數字簽名的靜默安裝包
b7a97a6171210740279d499cb8fd5f1f PPTV(pplive)_forqiqi_0003exe.exe
bc908a9b1423916ad1407ba4a948ffe8 FunshionInstall_C107941.exe
b668f13c4885db413666ef2a1a5dd912 Kuping_s_8560.exe
三、Intel.exe執行分析
創建命名管道執行CMD命令,設置文件屬性。
創建隱藏IE打開http://15587.com/?run
生成加密Media Update.vbe
Media Update.vbe會用Intel.exe替換Outlook Express\msimn.exe
修改主頁hxxp://www.82021.com/?
修改右鍵菜單:
"HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\", "C:\Program Files\Internet Explorer\iexplore.exe http://www.82021.com//","REG_SZ"
c430ec439ca3b48f1e33839a2852babf Intel.exe
c430ec439ca3b48f1e33839a2852babf Masker.exe