“蜘蛛兵團”攜帶盜號木馬來襲 AVG提供防護 |
發(fā)布時間: 2012/8/25 15:53:20 |
近日,AVG中國實驗室監(jiān)測到了中國本土制造的“漏洞兵團”,其目標明確、“播撒”范圍廣、傳播速度快,已經(jīng)有不少游戲用戶的帳號安全遭到了迫害。
漏洞是黑客或者病毒作者發(fā)起攻擊的主要方式之一,這種方式隱蔽,傳播速度極快,危害性也極大。IE漏洞可以讓用戶在瀏覽網(wǎng)頁過程中不知不覺的中招,Adobe漏洞讓用戶不敢隨意打開自己費盡千辛萬苦找到的電子書。隨著用戶對漏洞危害認識的不斷加強,病毒作者也意識到單一的漏洞很難在大量的用戶上成功執(zhí)行,于是在國外出現(xiàn)多種漏洞捆綁的攻擊方式,例如Crime pack、Phoenix Exploit Kit等,不僅在在黑市上流通,而且價格不菲。目前流行的漏洞包甚至含有10多個的漏洞,涉及到不同的操作系統(tǒng)版本,不同的應用程序,這都大大提高了漏洞執(zhí)行的成功率。對于這種發(fā)起混合攻擊的漏洞包,就像是不同的兵種在協(xié)同作戰(zhàn),各司其職,高效的發(fā)起極有針對性的攻擊,因此我們給它取了一個更加形象的名稱:漏洞兵團。 基于利益的驅(qū)使,國內(nèi)的病毒制造者也不會放棄這塊美味的蛋糕,近日,AVG中國實驗室就監(jiān)測到了中國本土制造的“漏洞兵團”,例如最近被發(fā)現(xiàn)的“蜘蛛兵團”。“蜘蛛兵團”的制造者利用多個漏統(tǒng)構(gòu)造畸形的網(wǎng)頁,訪問者如果有相應的漏洞,就極有可能導致惡意文件的下載和執(zhí)行。相對于國外成熟的技術(shù)而言,“蜘蛛兵團”還略顯稚嫩。沒有可以提供配置的客戶端,沒有協(xié)助通訊的服務器端。但是其本質(zhì)的特征是共通的:就是利用多個漏洞發(fā)起攻擊。以下就是“蜘蛛兵團”所利用的漏洞的列表: ·IEPeers (CVE-2010-0806) ·Flash 10.3.181.x (CVE-2011-2110) ·Flash 10.3.183.x (CVE-2011-2140) ·IE Time Element Memory Corruption (CVE-2011-1255) ·WMP MIDI (CVE-2012-0003) “蜘蛛兵團”相較于國外的“前輩”來說,利用的漏洞的數(shù)量比較少,只有5個,但是每個漏洞是漏洞界的新寵,甚至包含了近來非常流行的CVE-2012-0003,Windows Media Player MIDI文件的漏洞;國外兵團雖然數(shù)量眾多,但很多漏洞卻是非常的古老,例如Crime pack,還包含有2006年的MS06-014的IE6的漏洞。所以,在實戰(zhàn)的感染能力上“蜘蛛兵團”毫不遜色。 從漏洞兵團最后的目的來講,國內(nèi)外也有區(qū)別。在國外此類病毒主要用來制造僵尸網(wǎng)絡,而“蜘蛛兵團”的意圖更加本土化——竊取游戲帳號密碼。從目前發(fā)現(xiàn)的樣本來看,主要是針對目前國內(nèi)的熱門網(wǎng)游龍之谷。
同時該盜號木馬會替換以下系統(tǒng)文件:ksuser.dll,midimap.dll,msimg32.dll,包括%system32%目錄下和%system32%\dllcache目錄下,以達到自啟動和注入的目的。同時為了保證游戲和系統(tǒng)的正常運行,在替換之前會備份原始的動態(tài)鏈接庫文件,文件名的形式為yu+原始文件名。 本文出自:億恩科技【mszdt.com】 |