最近��,一種獨(dú)特的惡意軟件利用互聯(lián)網(wǎng)新聞標(biāo)題廣告作為跳板�,開始發(fā)動(dòng)攻擊。而且���,網(wǎng)絡(luò)罪犯所創(chuàng)造的這款最新的惡意軟件不會(huì)在受感染計(jì)算機(jī)上創(chuàng)建任何文件�?�?ò退够鶎?shí)驗(yàn)室的安全專家揭開了這種隱藏攻擊的面紗��。這類攻擊利用了一些知名俄羅斯新聞網(wǎng)站的站內(nèi)廣告漏洞��。安全專家警告����,這類攻擊很可能在其他國家同樣出現(xiàn)�。
卡巴斯基實(shí)驗(yàn)室的調(diào)查表明���,一些俄羅斯媒體網(wǎng)站在其頁面上使用了AdFfox廣告系統(tǒng)����。用戶訪問這些頁面時(shí)���,就可能被惡意軟件所感染�。當(dāng)用戶用瀏覽器訪問這些頁面并下載新聞廣告時(shí)����,會(huì)被重定向到包含Java漏洞利用程序的惡意網(wǎng)址。但是同標(biāo)準(zhǔn)的瀏覽即下載攻擊方式不同���,這類攻擊所采用的惡意程序并不會(huì)載入計(jì)算機(jī)磁盤�,而是僅出現(xiàn)于計(jì)算機(jī)的內(nèi)存中����。所以,利用反病毒解決方案很難檢測和攔截其攻擊行為�。
惡意軟件會(huì)充當(dāng)僵尸程序��,向服務(wù)器發(fā)送用戶的瀏覽歷史等數(shù)據(jù)�。如果被盜的數(shù)據(jù)中包含任何關(guān)于網(wǎng)上銀行服務(wù)信息��,網(wǎng)絡(luò)罪犯會(huì)在受感染計(jì)算機(jī)上安裝針對網(wǎng)上銀行的盜號(hào)木馬�����,試圖竊取訪問在線銀行系統(tǒng)的機(jī)密信息�。這些盜號(hào)木馬能夠針對俄羅斯多家銀行的在線服務(wù)發(fā)動(dòng)攻擊�。
調(diào)查結(jié)果還顯示,AdFox網(wǎng)絡(luò)本身并不是這次感染的源頭����。網(wǎng)絡(luò)黑客利用被攻陷的AdFox客戶端賬號(hào),在新聞banner中修改和添加了惡意網(wǎng)站代碼����。通過在廣告系統(tǒng)中修改代碼,網(wǎng)絡(luò)罪犯能夠感染多個(gè)使用這一系統(tǒng)的網(wǎng)站���,從而將訪問這些網(wǎng)站的用戶感染����。所以,這次攻擊所造成的潛在受感染用戶可能超過幾萬���。
卡巴斯基實(shí)驗(yàn)室首席安全專家AleksanderGostev解釋:“這是一種特殊的攻擊�����。網(wǎng)絡(luò)罪犯使用廣告網(wǎng)絡(luò)���,能夠非常有效的在受感染計(jì)算機(jī)上安裝惡意代碼,因?yàn)楹芏嘀W(wǎng)站都包含指向該服務(wù)的鏈接����。此外,該惡意軟件還是近幾年發(fā)現(xiàn)的首款較為罕見的惡意軟件�����。首該惡意軟件并無“實(shí)體”�,并不會(huì)在用戶的硬盤上出現(xiàn),而是出現(xiàn)在受感染計(jì)算機(jī)的內(nèi)存中���。所以���,其清除更為復(fù)雜����。此外����,雖然這次的攻擊事件主要針對俄羅斯用戶。但這類漏洞利用程序和無實(shí)體僵尸程序仍然能夠用于攻擊其他國家的用戶�����,因?yàn)榫W(wǎng)絡(luò)罪犯可以利用類似的國外banner網(wǎng)站和廣告網(wǎng)絡(luò)將其進(jìn)行傳播�����。此外�,網(wǎng)絡(luò)罪犯可能不僅使用的Lurk木馬�����,還可能使用其他惡意軟件感染用戶系統(tǒng)�。”
盡管該惡意軟件只有在用戶重新啟動(dòng)操作系統(tǒng)后才可以運(yùn)行,但被感染用戶很可能還會(huì)訪問被感染的新聞網(wǎng)站�。卡巴斯基實(shí)驗(yàn)室警告用戶�,目前針對此類惡意威脅�����,只有及時(shí)安裝更新安全軟件才能夠杜絕被感染�。所以��,要修復(fù)其中所使用的CVE-2011-3544 Java漏洞�����,建議用戶安裝最新的Oracle安全補(bǔ)丁�,下載地址:http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html.
果.jpg)