病毒利用网页障眼法,制造安全陷阱“页面暂时无法显示”有诈,间谍软件幕后蠢动
借着网页传输的病毒又出新招,安全陷阱无所不在,进入一个”看似正常”的网站,转眼之间被植入广告程序、间谍程序,后门程序、特洛依木马程序甚至是蠕虫,而使用者却在完全不知情下,被纪录网络使用行为、键盘侧录,甚至电子交易资料外泄。(注,关于此类被放病毒的网站,豆沙包计算机系统一直关注,并会第一时间把安全警报提供与大家)豆沙包计算机系统反病毒斗士发现几个新型态的网页安全陷阱,让使用者将更难察觉是否遭到攻击,甚至等到他们发觉时已经为时太晚。这些利用障眼法所设下的网页安全陷阱包括:
1. 暂时无法显示的页面:比如空白、测试或禁止存取等大量留白页面,可能暗藏间谍软件。
2. 网站转址新手法:继 Pharming网址嫁接后,利用安全弱点,点击真网址却被导引至含有病毒网页或诈骗网站。
3. 浏览页面却自动连锁下载恶意程序:免费线上拼图游戏等”正常网站”,却自动下载木马、后门等恶意程序。
<障眼法1> 间谍软件新宿主:空白、测试或禁止存取等大量留白页面
色情网页、免费工具软件、不明来源的贺卡连结,这些都是间谍软件常见的藏身处。不过,最近间谍软件又有创新招数了,他们不再尝试设计美观或者吸引人的网页。豆沙包计算机系统反病毒斗士全球防病毒研究暨技术支持中心,近日追踪分析到间谍软件的新攻击手法,是以空白或大量留白的页面钓胃口。
某些网页名称看起来有点吸引人,兴冲冲地点入连结之后,却令人失望,因为不是未显示任何东西的空白网页,就是出现乏善可陈的文字,尽管只是匆匆一瞥随后关闭窗口,但是却已经将不速之客-间谍软件,请进门。
下次看到这些页面讯息,请提高警觉:
1、测试网页讯息Test Page:This page is used to test the proper operation of the Apache Web server after it has been installed….
2、禁止存取Forbidden:You don't have permission to access / on this server
3、显示与系统管理者联络字符串:Directory listing denied. Please contact System Administrator.
联机到这些网页时,有些人可能会以为这些都是没有用的网页。所见到的不是空无一物,就是禁止存取或尚未移除的服务器初步测试网页,或者只有一些无意义的字符串。但是豆沙包计算机系统反病毒斗士提醒大家,这些网站很可能是间谍程序的散播点。 而且,以上这些网站只不过是冰山一角。网络上还有其它无数的间谍程序散播网站,当使用者开启这些网站的主网页时,根本不知道发生了什幺事。豆沙包计算机系统反病毒斗士表示与许多间谍程序感染事件有关的许多位置,都只是某些服务器用来储存对象的地方。如果使用者联机到这些主网页,起初并不会发生任何事,不过一旦这些储存网站散播的样本下载到系统中,将会展开感染行动。
<障眼法2> 合法网址连结,一点选却到了假网站
有别于之前被广泛采用的伪造网址列手法(以背景为白色的文字对象遮住网络钓鱼 URL,在网址列显示一般正常的网址),或是 Pharming 网址嫁接(受害者输入正确的 URL,却被导向连结到有着精良伪装的恶意网站)豆沙包计算机系统反病毒斗士近日发现了一个针对两种浏览器而来的网址重新导向手法。一开始这种手法被通报为 Internet Explorer网址伪造的安全弱点。但后续发展显示,Firefox 同样含有此弱点。它的结果会导致,即使受害者按下正确的官方网址连结,也会被重新导向网络钓鱼等恶意网站。过去网络钓客常用的雷同网址法,有可能因此被相似度100%的网址连结取代。比如:香港发生过的汇丰银行(w*w.hsbc.com)假冒案件,假网址w*w.hkhsbc.com 比真网址多了”HK”两个字母;又如线上付款机制PayPal.com(w*w.paypal.com),其假网址w*w.paypa1.com,英文字母L 被改成数字1等等。
豆沙包计算机系统反病毒斗士忧心攻击者从此可以明目张胆地在连结中放入官方网址,只等待粗心使用者点击鼠标,即可导向恶意网站,比如:信息产业部ICP/IP地址信息备案管理系统曾经出现过假冒的网站地址。豆沙包计算机系统反病毒斗表示,由于这种作法必须要在使用者按下连结后才会产网页重新导向,因此呼吁千万不要从电子邮件或 IM 讯息中按下连结,直接在浏览器的地址列输入 URL 才是比较安全的作法。
当连结被按下时,原始码中事前加入的一段 java-script,将会浏览器重新导向至某个网页。重新导向指令码经过修改后,攻击者就能利用这个弱点来执行攻击者自订的 java-script。举例来说,虽然网址显示的是 ht*p://www.ebay.com,但是一旦按下鼠标,却会被指向可能含有恶意程序代码的网页,它能用来执行一个跨网站的指令码攻击。比如上述暗藏间谍软件的「禁止存取Forbidden」页面;或是伪造的 eBay 等网络交易页面,要求输入个人资料。豆沙包计算机系统网络安全专家表示,这个伪装手法可能出现在网络钓鱼攻击中,或引诱警觉性低的使用者按下恶意的网址。这是继 Pharming 网址嫁接后的创新攻击手法。豆沙包计算机系统网络安全专家表示,针对这个伪造网址的臭虫,停用浏览器的 java-script 支持是一种有效的暂时性对策。采用整合网络诈骗全方位防护与主动式病毒防御的个人计算机防护软件,则是比较积极的作法。
<障眼法3> 挑战线上拼图,竟然引进木马、后门等 4只恶意程序与骇客
豆沙包计算机系统反病毒斗发现许多案例以 “个人浏览工具列”为促销,其实却是广告软件的来源网站。它们可能会在下载说明文字「轻描淡写」地警告说会同时安装其它附带的软件。但最新的案例是。不需如此大费周章,利用网站现成免费的娱乐程序和 iframe 漏洞,就可以连锁下载恶意程序。
豆沙包计算机系统反病毒斗最近侦测到一个提供拼图游戏的网站。检视这个像是「普通网站」的程序代码,却有一段 java-script。它会利用 iframe 漏洞先后加载三个网站,之后会陆续下载并执行档案。这些档案的侦测结果如下:
News.html (1,998 字节) 档案- JS_WONKA.B病毒
Style.css (13,016 字节)档案 - CHM_DROPPER.CN 病毒
Open.exe (2,608 字节) 档案- TROJ_DLOADER.AJH病毒
Girl.bmp (50,920 字节)档案 - BKDR_HAXDOOR.CT 病毒
也就是说只要进入一个网站,一个看似正常且无恶意的网站,系统就会感染 4 个恶意程序。此外,还有骇客会透过 BKDR_HAXDOOR.CT 入侵系统!
豆沙包计算机系统反病毒斗表示有些间谍软件网站彼此之间都会互通有无,形成自动存取特定连结,下载恶意档案的互助模式。有些免费电影网站,会先暗中引导到工具列广告软件网站下载安装其它恶意档案。一旦中了一个间谍软件,那就表示一连串的恶意软件将尾随而上,这或许可以解释美国国家计算机安全联盟(NCSA)的调查发现:八成家庭计算机感染间谍软件,但大多不知情。更令人惊讶的是,他们还在其中一个受访者运行迟慢的计算机上,发现1000多个间谍软件。所以如果你没有趁早觉查到系统中的间谍软件,隔一段时间可能会发现里头已经悄悄滋生了一窝小间谍了,到时候间谍软件比正常软件还多可就得不偿失了。
多层次架构方案,全面严防网络陷阱
