圖1:惡意郵件截圖
這是一個完全虛假的騙局�,電子郵件中所謂的“掃描系統(tǒng)……”其實根本沒有發(fā)生。受害者被直接告知其電腦已感染worm W32.Swizzor.C-WORM蠕蟲病毒����,然后被提示下載清除工具����,以保護電腦����。
當用戶點擊醒目的“下載”按鈕則會被定向到如下地址:
hxxp://www.protectedssl.net/removal/SymantecRemoval&2012&09.data=SwizzorC.php。
而用戶下載到的所謂清除工具���,其實是來自hxxp://www.protectedssl.net/RemovalTool.exe的惡意文件�。
Websense ACE™在針對第一個鏈接進行分析時,便能實時察覺異常狀態(tài)��,并保護用戶免受其害��。點擊此處可以看到對ACE第一個URL的分析報告:
此外�,作為Websense 網(wǎng)絡安全智能(CSI)服務的一部分,ThreatScope analysis也會將準確地將RemovalTool.exe識別為惡意軟件��,因為其存在如下行為:
1.HTTP定向到托管惡意內(nèi)容的服務器
2.釋放一個或多個可執(zhí)行文件
3.HTTP定向到未分類的服務器
4.通過惡意軟件篡改用戶常用的配置信息目錄中的系統(tǒng)文件
詳細的ThreatScope報告請看這里
截止到發(fā)稿時�,Virustotal 統(tǒng)計報告顯示,42家提供免費病毒掃描的反病毒商中��,僅有3家將該文件識別為惡意軟件:
圖2:Virustotal 統(tǒng)計報告截圖
那 么Websense是如何針對這類威脅提供防護的呢?首先���,Websense電子郵件安全產(chǎn)品通過網(wǎng)絡流量���、聲譽和垃圾郵件規(guī)則進行綜合分析,判斷此類郵 件是否為垃圾郵件����,并加以阻截。另一方面,即使用戶點擊惡意鏈接����,Websense的網(wǎng)絡安全產(chǎn)品(Web Security Gateway、Web Security Gateway Anywhere及Cloud Web Security)也可在載入URL的同時對其進行實時的分析����,以提供更高級別的防護�。
