Adobe Flash是互聯網上傳播最為廣泛的產品之一。由於其廣受歡迎並在全球具有龐大的客戶群,因此經常成為網絡不法分子的目標。網絡不法分子使用社交工程方法,通過假冒Flash更新站點傳播其惡意軟件,經常會使可能需要軟件更新,但毫無戒心的用戶在不知情的情況下安裝惡意軟件。
最近,我們發現瞭一個將自身偽裝成Adobe Flash Player更新頁面的惡意站點。在此站點上,攻擊者向用戶提供瞭兩個選項,以確保用戶成功完成安裝:
1)彈出消息要求用戶下載flash_player_updater.exe文件;
2)彈出“立即下載”按鈕,要求用戶下載update_flash_player.exe文件。
攻擊者創建瞭一個看似比較逼真的登陸頁面,但也有矛盾之處。頁面中的大多數鏈接都鏈接回攻擊域,除瞭指向惡意軟件本身的鏈接之外,所有其他鏈接都鏈接回站點的根目錄,從而導致404錯誤。
賽門鐵克已提供防護,並將這些文件檢測為Trojan Horse。
為確保您不會成為受害者,首先請確保經常更新您的防病毒定義,還需定期更新您的軟件安裝包。切勿從第三方站點下載更新,並始終仔細檢查所提供的下載的URL。
熱點病毒
病毒名:Trojan.Betabot
病毒類型:木馬
受影響系統:Windows 98、Windows 95、Windows XP、Windows Server 2008、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000
運行後,Trojan.Betabot會將自身拷貝至%ProgramFiles%Common Files[木馬文件夾名]目錄,並重命名為Flash Update Client或Windows Licence Check,即將自身偽裝為Flash升級程序或Windows許可證檢查程序。隨後,該木馬會創建和修改註冊表項,以實現開機自啟動,並降低Internet Explorer瀏覽器的安全等級設置。
Trojan.Betabot會創建一個隱藏的IE瀏覽器進程,並註入病毒代碼。然後,該木馬會試圖在受感染計算機中開啟後門,並連接指定的遠程服務器hxxp://webho[removed]tection.info/icool/orde[removed]和hxxp://assler.hfgfr5[removed]g.com/cakes/sale[removed],從而令遠程攻擊者獲取計算機的權限。最後,該木馬會結束包括explorer.exe在內的所有正在運行的窗口程序。
Orignal From: 攻擊者冒Flash更新站點傳播惡意軟件
留言列表
