Adobe Flash是互联网上传播最为广泛的产品之一。由于其广受欢迎并在全球具有庞大的客户群,因此经常成为网络不法分子的目标。网络不法分子使用社交工程方法,通过假冒Flash更新站点传播其恶意软件,经常会使可能需要软件更新,但毫无戒心的用户在不知情的情况下安装恶意软件。
最近,我们发现了一个将自身伪装成Adobe Flash Player更新页面的恶意站点。在此站点上,攻击者向用户提供了两个选项,以确保用户成功完成安装:
1)弹出消息要求用户下载flash_player_updater.exe文件;
2)弹出“立即下载”按钮,要求用户下载update_flash_player.exe文件。
攻击者创建了一个看似比较逼真的登陆页面,但也有矛盾之处。页面中的大多数链接都链接回攻击域,除了指向恶意软件本身的链接之外,所有其他链接都链接回站点的根目录,从而导致404错误。
赛门铁克已提供防护,并将这些文件检测为Trojan Horse。
为确保您不会成为受害者,首先请确保经常更新您的防病毒定义,还需定期更新您的软件安装包。切勿从第三方站点下载更新,并始终仔细检查所提供的下载的URL。
热点病毒
病毒名:Trojan.Betabot
病毒类型:木马
受影响系统:Windows 98、Windows 95、Windows XP、Windows Server 2008、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000
运行后,Trojan.Betabot会将自身拷贝至%ProgramFiles%Common Files[木马文件夹名]目录,并重命名为Flash Update Client或Windows Licence Check,即将自身伪装为Flash升级程序或Windows许可证检查程序。随后,该木马会创建和修改注册表项,以实现开机自启动,并降低Internet Explorer浏览器的安全等级设置。
Trojan.Betabot会创建一个隐藏的IE浏览器进程,并注入病毒代码。然后,该木马会试图在受感染计算机中开启后门,并连接指定的远程服务器hxxp://webho[removed]tection.info/icool/orde[removed]和hxxp://assler.hfgfr5[removed]g.com/cakes/sale[removed],从而令远程攻击者获取计算机的权限。最后,该木马会结束包括explorer.exe在内的所有正在运行的窗口程序。
网友评论