返回新闻列表

不知疲倦的Zeus和假冒的压缩程序

        近日,卡巴斯基实验室发布了2010年10月恶意软件统计报告。

        尽管最近同Zeus僵尸程序有关的一批网络罪犯被逮捕,但仍然不妨碍更多的新型恶意程序层出不穷,为其传播推波助澜。Zeus已经成为使用范围最广,同时也是在黑市上销售情况最好的间谍程序。归根结底,这主要是因为该恶意软件容易配置,而且非常擅长窃取用户的在线数据。

        最早于今年10月份被检测到的Virus.Win32.Murofet病毒即可以生成一个带有特定域名的链接,用户传播Zeus僵尸程序。指向可下载和可执行的Zeus文件的链接是采用受感染计算机上的当前日期和时间生成的。该病毒会获取系统的年份、月、日期和时间,生成两个双字节词,再加上常见的域名,在字符串后面加上“/forum”,使其成为一个链接。

        本报告作者卡巴斯基实验室高级病毒分析师Vyacheslav Zakorzhevsky说:“通过这款恶意软件就能够看出,Zeus的开发者在全球范围内传播Zeus过程中,是如何的具有创意和不择手段。”

        十月份另一个明显的趋势是假冒的压缩程序数量持续增加。通常情况下,这类恶意程序会将自身伪装成常见的免费软件或工具,功能是可以用来清除合法软件的授权保护。启动该程序后,会提示用户向某个付费号码发送一条短信,才能够访问压缩文件中的内容。大多数情况下,即使用户发送了短信,也只会收到一条关于如何使用torrent tracker(BT资源)的说明或者一个指向这些内容的链接。Vyacheslav Zakorzhevsky评论道:“这种恶意程序采用的骗局很多,但最终结果都非常相似,受害用户在损失钱财后,通常不会获得自己想要的文件或内容。这类骗局相对较为新颖,直到过去几个月才刚刚出现。但已经引起了很多网络罪犯的兴趣。”从2010年7月起,卡巴斯基实验室每月就检测到超过100万次的此类感染。

        卡巴斯基实验室的安全专家再次提醒用户在浏览网页的时候提高安全警惕性,不要访问哪些看上去比较可疑的网络资源。本月恶意软件排行榜上居首位的是一种来自假冒更新家族的恶意脚本,名为Trojan.JS.FakeUpdate.bp。这类恶意程序经常出现在色情网站上。当用户在这中网站上点击一个视频时,浏览器会弹出窗口,提示用户需要安装一个最新的媒体播放器。这个播放器中同时包含一个木马程序,会修改用户系统的hosts文件。将本地IP地址同一些流行网站相关联,然后在受感染计算机上安装本地网页服务。这样,用户每次试图访问这些网站时,都会弹出一个窗口,提示用户要查看成人内容,需要先付费。

        欲浏览卡巴斯基实验室的十月份恶意软件报告全文,请访问:http://www.kaspersky.com.cn/KL-AboutUs/news2010/11n/101112a.htm.