Phishing Attack :
发布日期:
最后更新日期:
攻击来自:超级旋风的旋窝搜索(http://x.soso.com)
描述:
在使用超级旋风下载软件的时候,界面的右边会出现一些推荐的电影下载连接,打开以后可以看到是超级旋风的旋窝影视搜索,提供了电影下载的资源地址,其中包含了不少钓鱼攻击,通过假资源或者在资源里包含了病毒,诱骗下载者在打开资源的时候运行病毒。
例子:
http://x.soso.com/cgi-bin/movie/show_detail_mv?Id=8041
这是在超级旋风推荐里的一个电影,可以在返回的结果里看到提供的资源很多是RAR压缩包,然后在其中包含RAR格式的自解压缩包,它的自动解压并运行程序的功能被钓鱼者所利用。
在经过检查之后发现仅是这个电影的资源里,RAR包里包含病毒的超过一半。
钓鱼者在压缩包的同一目录下放了一个说明文件来诱骗用户执行自解压缩包:
种子解压说明:双击EXE自解压文件,得到种子
因为空间不允许上传.torrent种子格式文件,
所以就做成RAR发布了,空间商不想被当下载服务器吧,
RAR格式就可以正常下载
通过在自解压缩包里存放torrent种子文件和一个文件属性为系统(S)+隐藏(H)的病毒程序,在用户执行该压缩包的同时,释放这两个文件,并执行病毒程序:
关于该病毒(Trojan-Downloader.Win32.Todon.aq)的一些简单描述:
病毒通过Image File Execution Options,拦截带有特征字符的程序等方式反制杀毒软件,进行了修改分区的权限设置,修改注册表破坏安全模式的加载,破坏隐藏文件的显示等行为来降低系统的安全性,还通过释放autorun.inf和病毒在分区目录,连接网络下载其他病毒等行为来继续恶意侵入用户的电脑。
推荐的应对方法:
安装杀毒软件对下载的文件进行安全检查扫描。
不要随意执行EXE,COM等可执行后缀的程序。
学习和加深对系统,网络安全的了解。
关于这个病毒的粗略反汇编分析:http://www.scanw.com/blog/archives/81
Popularity: 29% [?]
