在最近一段时间,知道安全应急团队捕获了一些利用相似域名,输入错误域名来挂马的行为.
这类攻击的对象一般是不输入上网的人(他们会容易输入域名),粗心的人(我也是输入域名错了发现挂马),外国友人(他们不熟悉国内网站,容易输入错误).
由于奥运到来,可能会有很多人通过网络的便利性来获取更快更多的赛事信息,这样的攻击能够有效地影响到网友的网络方面的安全,特别是外国友人容易受到影响.
例如:
大家想上去搜狐的时候,可能会有很多人拼搜狐(souhu.com),而这个souhu.com却是一个充满恶意的域名,它不存在网站,在它的代码里,连接了几个恶意的地址,来攻击访问它的人.
而输入 google.cn的时候,也许会有人少输入了一个o,但这个gogle.cn是还没有被使用的域名,那它怎么可能还有恶意呢?
由于在我们输入错误域名的时候,DNS解析会转向到一个服务提供商所指定的一个网页,例如114搜索之类的,而这个gogle.cn所转向的域名是一个常见的地方(假如你经常输错域名的话):OK365的搜索.
而恶意的来源就是OK365的搜索返回页面被挂马了.
所以,在你输入错误的域名以后,你就会被转到一个带有OK365搜索的页面里,从而触发了OK365上的恶意代码.
附:
这两个站点都是挂了hXXp://www.cao-2.cn/a0252580/a25.htm,它利用了以下漏洞:
ms06-014
Access快照工具漏洞
flash漏洞
联众游戏漏洞
realplayer漏洞
暴风播放器漏洞
新浪电视漏洞
关于这个挂马域名 www.cao-2.cn与上次的仿新浪挂马是同一伙人所为,他们在奥运期间注册了相似度高的域名进行挂马,还在DNS转向过去的365搜索挂马.他们所使用的域名还包括www.cao-1.cn,www.cao-2.cn等,已经移交CNCERT/CC处理.
建议网友安装杀毒软件来防御病毒的入侵,安装365门神来弥补杀毒软件对WEB方面的防护.
Popularity: 35% [?]
