也許有些人還不知道,黑洞攻擊類病毒作為目前最流行的網(wǎng)絡(luò)攻擊工具��,在黑市上甚為搶手���,其制造者往往獲利頗豐�。近日,密切關(guān)注各類網(wǎng)絡(luò)威脅的Websense得到消息���, “黑洞攻擊包”(Blackhole Exploit Kit)即將出現(xiàn)新的版本���。病毒制造者在俄國(guó)完成升級(jí)后決定將其販?zhǔn)郏⒃谝患业叵陆灰渍搲习l(fā)布了廣告��。
新版的黑洞攻擊包將具備如下特性:
1.含動(dòng)態(tài)的URL生成器��,使原本針對(duì)靜態(tài)URL進(jìn)行的病毒鑒定方式失去意義;
2可執(zhí)行的URL將阻斷IP信息���,使得反病毒公司無(wú)法精準(zhǔn)定位�,反病毒檢測(cè)的時(shí)效將大打折扣;
3.在劫持頁(yè)面中使用驗(yàn)證碼�����,防止病毒投放者以外的人訪問�����,也就意味著�,原本粉碎性暴力清除病毒的方式也將失效;
您點(diǎn)擊這里就可以看到制造者售賣病毒的英文版廣告,并查看完整的病毒特性說(shuō)明。
Websense的網(wǎng)絡(luò)安全專家從ThreatSeeker Network中提取了一些病毒樣本����,檢測(cè)其是否含有新版“黑洞攻擊包”病毒。不出所料��,從不久前的一系列惡意電子郵件攻擊事件中攔截下來(lái)的病毒樣本中�����,我們發(fā)現(xiàn)了“黑洞攻擊包”�����。它們?nèi)缤瑫r(shí)裝秀上不停換裝的模特��,不斷變化出各種顯示亂碼php頁(yè)面(見圖1)�����,上面赫然顯示著許多惡意鏈接���。
圖1:顯示亂碼的php頁(yè)面
雖然如此,但我們網(wǎng)絡(luò)專家們并沒有從此次分析中收獲太多的驚喜�,因?yàn)樯星覠o(wú)法確定檢測(cè)到的樣本就是新版的病毒——Blackhole Exploit Kit 2.0。如圖2所示�,專家們將亂碼破譯�����,發(fā)現(xiàn)第五行代碼中包含PluginDetect語(yǔ)句�,而根據(jù)新版病毒的售賣廣告所稱���,病毒作者已不再使用該語(yǔ)句了��。
圖2:破譯后的php頁(yè)面
Websense ThreatSeeker Network將繼續(xù)密切關(guān)注此類威脅����,并通過(guò)高級(jí)分類引擎(ACE™)來(lái)保護(hù)客戶的安全��。
/FoxAttachPreview(09-19-11-17-07).files/FoxAttachPreview(09-19-11-17-07)-853.png)
/FoxAttachPreview(09-19-11-17-07).files/FoxAttachPreview(09-19-11-17-07)-1216.png)
