天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

病毒携“春运”而来 AVG提醒用户注意购票安全

2011-1-30华军资讯佚名

随着中国传统假日春节的来临,木马产业链开始了新一轮的“话题攻击”,AVG支援中心提醒用户,谨防木马和下载器的攻击,随时更新病毒库做好应对措施。

由于反病毒软件的日新月异,木马制造者为了获得利益,也在不断的更新木马种类,这对反病毒工作来说是一项极大的挑战。同时,为了达到诱骗用户点击木马以运行恶意程序,木马制造者多结合时事新闻话题,制造一些极具诱惑性的挂马图片或链接诱惑用户点击。而现在较为流行的种马方式是在网页中植入“下载者”进行攻击。

下载者(Downloader)是一类计算机病毒程序,按照国际上的病毒命名惯例为“Trojan-Downloader”一类,这类木马程序的主要内容为:指引中毒用户的计算机到黑客指定的URL地址去下载更多的病毒文件或者木马后门文件并运行,使得黑客获得更大操作权限,为黑客后门技术奠定基础。通俗的说,就是自动下载病毒的程序。

一般这类病毒体大小在几百字节到几KB之间,比一般的木马程序要小的多,便于网络传播。网站挂马通常挂的都是下载者木马,因为下载者程序体积小,可以迅速下载执行,不卡IE浏览器。所以,不安装杀毒软件,一般很难发现。

下载者的没有固定的形态,但所能实现的功能较多,通过下载者,受害主机会源源不断的“被”下载越来越多的盗号木马和各种CPA插件。反映在用户身上,就是发现电脑运行越来越慢,以及不定时的自动打开各种网站。这对用户的正常办公带来了极大的困扰。

截止上周末,AVG支援中心截获了一个非常流行的下载者木马“winsoft下载者”,它随着“春节 买票”、“转让车票”、“低价卧铺车票”等热门关键字而来。由于广大用户回家心切,上网时不太注重网页的安全性,使得这种木马有了可乘之机。同时由于支付宝的便利性,很多用户被虚假的网页钓鱼,在非正规的网站“购票”造成了巨大的损失。

木马利用浏览器的漏洞,隐藏在多个网页当中,当用户计算机存在安全隐患时,下载者利用漏洞自行静默安装在用户的计算机上。

这些下载器以很多的形式出现,但是共同点就是指向的下载网址都是如下形式:

http://app2.wi*****0.com

http://app2.wi*****1.com

………………

http://app2.wi*****101.com

下载器会尝试去循环检查以上的链接是否可以可用,如果可用则发送Http Get的请求,根据服务器端的返回内容进行进一步的操作。

经AVG支援中心检测,发现该下载者存在以下显著特点:

1、指向的下载网址可变,不易被阻断,下载地址的大部分是固定的,变化的只是数字部分,变化范围从1-101.活跃的链接也是变化的。(可见这条木马产业链上,木马制造者投入了多个域名进行攻击。)

2、下载的内容可变,服务器可以灵活调整传输到用户系统的病毒文件,从目前的检测来看,主要以针对主流游戏的盗号木马居多。

3、下载行为隐蔽,不易被发觉,研究人员发现病毒在发送Http请求时,有一个参数标识着当前用户的特征,如果这个标识在服务器已有记录,则不会重复下载,因此下载器并不是长期活跃在用户的系统中,给查杀带来一定困难。

目前,在安装AVG 全功能安全软件 2011 的计算机上,已可以做到自动阻断winsoft下载者病毒。如果您的计算机上还未安装杀毒软件,我们推荐您安装AVG的免费杀毒软件: http://www.avg.com/cn-zh/china-homepage

同时,AVG再次提醒广大用户,春节期间谨防“话题攻击”,为自己的爱机安装杀毒软件以免受不必要的损失。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行