趋势科技中国地区病毒监测中心(CRTL)近日检测到一个恶性的网页威胁,该恶意网页地址为:hxxp://xx.9{block}.org/ip/1.htm。据统计,该网页含近150个病毒感染客户端,其中包括104个木马程序,并且90%以上的木马程序均为盗号木马。
据称,目前网络上还发现其他网站也被感染,如共富网等。
趋势科技反病毒专家指出,该恶意网站含有大量的盗号木马,主要包括征途、魔兽、传奇等热门网络游戏以及QQ木马。大量盗号木马构成了一个木马群,一旦感染,木马会连接指定的IRC服务器,允许黑客对染毒计算机进行远程控制,窃取用户的账号和密码,盗取用户游戏帐号和装备,导致用户虚拟财产损失,并可向其它计算机发动攻击。
趋势科技的反病毒专家初步确认,这一恶意网页通过以下两种方式到达客户机器::一种是利用客户网络中的ARP病毒,将该网页链接插入到流经http代理服务器的所有http网页中;其次,感染互联网上web服务器上的网页文件,被插入如上链接。
用户一旦上网浏览了病毒网页,该网页就会被IE自动执行。由于病毒网页中包含利用IE iframe 的代码,将导致IE被先后重定向到10个网站的近30个恶意网页。紧接着,一连串的恶意网页会利用IE和BHO漏洞直接下载至少4个“下载者”病毒。一旦“下载者”病毒登陆到用户机器就会根据自身携带的配置参数,自动从down.85{ block }.cn 、pu.pum{ block }.com 、down.dj7{ block }.cn批量下载其他病毒,直至下载上百只以上不同种类的病毒。病毒运行后,会大量占用系统资源,使系统运行变慢,同时可能造成网络阻塞;计算机文件被文件感染型木马PE-Looked感染,其破坏力和熊猫烧香相当,而且很难清除干净。
此外,该恶意网页的传播方式和途径十分具有侵略性。如果是被客户网络中的ARP病毒将该链接插入到流经http代理服务器的所有http网页中,在这种情况下,会导致全网浏览网页的用户中毒,传播面非常大。举例来说,如果内部局域网中一台计算机感染ARP病毒并发出ARP欺骗数据包,网内其它计算机就都可能受其影响,将恶意代码插入HTTP数据包并返回给被欺骗计算机,这样被欺骗计算机浏览到的任何网页都被插入了恶意代码,就如同被浏览网页挂木马了一样。
据介绍,现在病毒制造已形成产业化,其动机已远非最初的图好玩、英雄主义等,而是直指商业目的。受利益驱动,在很多盗号木马的背后,都有一个黑色产业链:从病毒的研发、传播,到非法信息的收集、销赃,各个环节分工明确,联系紧密。从统计结果看,黑客、病毒产业链在近一两年有进一步的发展和完善,窃取的个人资料从QQ密码、网游密码到银行账号、信用卡帐号等,任何可以换成金钱的东西,都成为黑客们窃取的对象,因制造病毒非法获取利益而被判刑的案例也屡次见诸报端。
趋势科技反病毒专家指出,面对这种情况,单纯的发现病毒后再进行杀毒已经远远不够。因为在发现病毒的同时,盗号木马已启动,有可能在查杀病毒的同时,个人账户信息、密码等保密数据已被窃取,用户的财产损失也同时产生。只有完全与恶意网站隔离,才能真正防御网络威胁:这就需要对新垃圾邮件源和网络钓鱼源使用动态识别技术来进行评估、鉴定,以彻底隔离恶意网站。趋势科技将于年底推出含有动态识别技术(WRS)的2008年个人版杀毒软件,可使用户真正实现与恶意网站的“零接触”,从根本上避免在浏览网页时被病毒感染。其应对网络威胁的强大功能令业内外人士期待。
当前位置:
