随着中国传统假日春节的来临,木马产业链开始了新一轮的“话题攻击”,AVG支援中心提醒用户,谨防木马和下载器的攻击,随时更新病毒库做好应对措施。
由于反病毒软件的日新月异,木马制造者为了获得利益,也在不断的更新木马种类,这对反病毒工作来说是一项极大的挑战。同时,为了达到诱骗用户点击木马以运行恶意程序,木马制造者多结合时事新闻话题,制造一些极具诱惑性的挂马图片或链接诱惑用户点击。而现在较为流行的种马方式是在网页中植入“下载者”进行攻击。
下载者(Downloader)是一类计算机病毒程序,按照国际上的病毒命名惯例为“Trojan-Downloader”一类,这类木马程序的主要内容为:指引中毒用户的计算机到黑客指定的URL地址去下载更多的病毒文件或者木马后门文件并运行,使得黑客获得更大操作权限,为黑客后门技术奠定基础。通俗的说,就是自动下载病毒的程序。
一般这类病毒体大小在几百字节到几KB之间,比一般的木马程序要小的多,便于网络传播。网站挂马通常挂的都是下载者木马,因为下载者程序体积小,可以迅速下载执行,不卡IE浏览器。所以,不安装杀毒软件,一般很难发现。
下载者的没有固定的形态,但所能实现的功能较多,通过下载者,受害主机会源源不断的“被”下载越来越多的盗号木马和各种CPA插件。反映在用户身上,就是发现电脑运行越来越慢,以及不定时的自动打开各种网站。这对用户的正常办公带来了极大的困扰。
截止上周末,AVG支援中心截获了一个非常流行的下载者木马“winsoft下载者”,它随着“春节 买票”、“转让车票”、“低价卧铺车票”等热门关键字而来。由于广大用户回家心切,上网时不太注重网页的安全性,使得这种木马有了可乘之机。同时由于支付宝的便利性,很多用户被虚假的网页钓鱼,在非正规的网站“购票”造成了巨大的损失。
木马利用浏览器的漏洞,隐藏在多个网页当中,当用户计算机存在安全隐患时,下载者利用漏洞自行静默安装在用户的计算机上。
这些下载器以很多的形式出现,但是共同点就是指向的下载网址都是如下形式
http://app2.wi*****0.com
http://app2.wi*****1.com
………………
http://app2.wi*****101.com
下载器会尝试去循环检查以上的链接是否可以可用,如果可用则发送Http Get的请求,根据服务器端的返回内容进行进一步的操作。
经AVG支援中心检测,发现该下载者存在以下显著特点:
1、指向的下载网址可变,不易被阻断,下载地址的大部分是固定的,变化的只是数字部分,变化范围从1-101.活跃的链接也是变化的。(可见这条木马产业链上,木马制造者投入了多个域名进行攻击。)
2、下载的内容可变,服务器可以灵活调整传输到用户系统的病毒文件,从目前的检测来看,主要以针对主流游戏的盗号木马居多。
3、下载行为隐蔽,不易被发觉,研究人员发现病毒在发送Http请求时,有一个参数标识着当前用户的特征,如果这个标识在服务器已有记录,则不会重复下载,因此下载器并不是长期活跃在用户的系统中,给查杀带来一定困难。
目前,在安装AVG 全功能安全软件 2011 的计算机上,已可以做到自动阻断winsoft下载者病毒。如果您的计算机上还未安装杀毒软件,我们推荐您安装AVG的免费杀毒软件: http://www.avg.com/cn-zh/china-homepage
同时,AVG再次提醒广大用户,春节期间谨防“话题攻击”,为自己的爱机安装杀毒软件以免受不必要的损失。
