返回新闻列表

独特的“无实体文件”僵尸程序大肆感染新闻网站用户

        最近,一种独特的恶意软件利用互联网新闻标题广告作为跳板,开始发动攻击。而且,网络罪犯所创造的这款最新的恶意软件不会在受感染计算机上创建任何文件。卡巴斯基实验室的安全专家揭开了这种隐藏攻击的面纱。这类攻击利用了一些知名俄罗斯新闻网站的站内广告漏洞。安全专家警告,这类攻击很可能在其他国家同样出现。

        卡巴斯基实验室的调查表明,一些俄罗斯媒体网站在其页面上使用了AdFfox广告系统。用户访问这些页面时,就可能被恶意软件所感染。当用户用浏览器访问这些页面并下载新闻广告时,会被重定向到包含Java漏洞利用程序的恶意网址。但是同标准的浏览即下载攻击方式不同,这类攻击所采用的恶意程序并不会载入计算机磁盘,而是仅出现于计算机的内存中。所以,利用反病毒解决方案很难检测和拦截其攻击行为。

        恶意软件会充当僵尸程序,向服务器发送用户的浏览历史等数据。如果被盗的数据中包含任何关于网上银行服务信息,网络罪犯会在受感染计算机上安装针对网上银行的盗号木马,试图窃取访问在线银行系统的机密信息。这些盗号木马能够针对俄罗斯多家银行的在线服务发动攻击。

        调查结果还显示,AdFox网络本身并不是这次感染的源头。网络黑客利用被攻陷的AdFox客户端账号,在新闻banner中修改和添加了恶意网站代码。通过在广告系统中修改代码,网络罪犯能够感染多个使用这一系统的网站,从而将访问这些网站的用户感染。所以,这次攻击所造成的潜在受感染用户可能超过几万。

        卡巴斯基实验室首席安全专家Aleksander Gostev解释:“这是一种特殊的攻击。网络罪犯使用广告网络,能够非常有效的在受感染计算机上安装恶意代码,因为很多知名网站都包含指向该服务的链接。此外,该恶意软件还是近几年发现的首款较为罕见的恶意软件。首该恶意软件并无”实体“,并不会在用户的硬盘上出现,而是出现在受感染计算机的内存中。所以,其清除更为复杂。此外,虽然这次的攻击事件主要针对俄罗斯用户。但这类漏洞利用程序和无实体僵尸程序仍然能够用于攻击其他国家的用户,因为网络罪犯可以利用类似的国外banner网站和广告网络将其进行传播。此外,网络罪犯可能不仅使用的Lurk木马,还可能使用其他恶意软件感染用户系统。”

        尽管该恶意软件只有在用户重新启动操作系统后才可以运行,但被感染用户很可能还会访问被感染的新闻网站。卡巴斯基实验室警告用户,目前针对此类恶意威胁,只有及时安装更新才能够杜绝被感染。所以,要修复其中所使用的CVE-2011-3544 Java漏洞,建议用户安装最新的Oracle安全补丁,下载地址:http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html.

        关于卡巴斯基实验室对于此恶意软件的详细分析报告,请访问:www.securelist.com