“蜘蛛兵團(tuán)”攜帶盜號(hào)木馬來(lái)襲 AVG提供防護(hù)

　　漏洞是黑客或者病毒作者發(fā)起攻擊的主要方式之一，這種方式隱蔽，傳播速度極快，危害性也極大。IE漏洞可以讓用戶在瀏覽網(wǎng)頁(yè)過程中不知不覺的中招，Adobe漏洞讓用戶不敢隨意打開自己費(fèi)盡千辛萬(wàn)苦找到的電子書。隨著用戶對(duì)漏洞危害認(rèn)識(shí)的不斷加強(qiáng)，病毒作者也意識(shí)到單一的漏洞很難在大量的用戶上成功執(zhí)行，于是在國(guó)外出現(xiàn)多種漏洞捆綁的攻擊方式，例如Crime pack、Phoenix Exploit Kit等，不僅在在黑市上流通，而且價(jià)格不菲。目前流行的漏洞包甚至含有10多個(gè)的漏洞，涉及到不同的操作系統(tǒng)版本，不同的應(yīng)用程序，這都大大提高了漏洞執(zhí)行的成功率。對(duì)于這種發(fā)起混合攻擊的漏洞包，就像是不同的兵種在協(xié)同作戰(zhàn)，各司其職，高效的發(fā)起極有針對(duì)性的攻擊，因此我們給它取了一個(gè)更加形象的名稱：漏洞兵團(tuán)。

　　基于利益的驅(qū)使，國(guó)內(nèi)的病毒制造者也不會(huì)放棄這塊美味的蛋糕，近日，AVG中國(guó)實(shí)驗(yàn)室就監(jiān)測(cè)到了中國(guó)本土制造的“漏洞兵團(tuán)”，例如最近被發(fā)現(xiàn)的“蜘蛛兵團(tuán)”。“蜘蛛兵團(tuán)”的制造者利用多個(gè)漏統(tǒng)構(gòu)造畸形的網(wǎng)頁(yè)，訪問者如果有相應(yīng)的漏洞，就極有可能導(dǎo)致惡意文件的下載和執(zhí)行。相對(duì)于國(guó)外成熟的技術(shù)而言，“蜘蛛兵團(tuán)”還略顯稚嫩。沒有可以提供配置的客戶端，沒有協(xié)助通訊的服務(wù)器端。但是其本質(zhì)的特征是共通的：就是利用多個(gè)漏洞發(fā)起攻擊。以下就是“蜘蛛兵團(tuán)”所利用的漏洞的列表：

　　·IEPeers (CVE-2010-0806)

　　·Flash 10.3.181.x (CVE-2011-2110)

　　·Flash 10.3.183.x (CVE-2011-2140)

　　·IE Time Element Memory Corruption (CVE-2011-1255)

　　·WMP MIDI (CVE-2012-0003)

　　“蜘蛛兵團(tuán)”相較于國(guó)外的“前輩”來(lái)說，利用的漏洞的數(shù)量比較少，只有5個(gè)，但是每個(gè)漏洞是漏洞界的新寵，甚至包含了近來(lái)非常流行的CVE-2012-0003，Windows Media Player MIDI文件的漏洞;國(guó)外兵團(tuán)雖然數(shù)量眾多，但很多漏洞卻是非常的古老，例如Crime pack，還包含有2006年的MS06-014的IE6的漏洞。所以，在實(shí)戰(zhàn)的感染能力上“蜘蛛兵團(tuán)”毫不遜色。

　　從漏洞兵團(tuán)最后的目的來(lái)講，國(guó)內(nèi)外也有區(qū)別。在國(guó)外此類病毒主要用來(lái)制造僵尸網(wǎng)絡(luò)，而“蜘蛛兵團(tuán)”的意圖更加本土化——竊取游戲帳號(hào)密碼。從目前發(fā)現(xiàn)的樣本來(lái)看，主要是針對(duì)目前國(guó)內(nèi)的熱門網(wǎng)游龍之谷。

　　同時(shí)該盜號(hào)木馬會(huì)替換以下系統(tǒng)文件：ksuser.dll，midimap.dll，msimg32.dll，包括%system32%目錄下和%system32%\dllcache目錄下，以達(dá)到自啟動(dòng)和注入的目的。同時(shí)為了保證游戲和系統(tǒng)的正常運(yùn)行，在替換之前會(huì)備份原始的動(dòng)態(tài)鏈接庫(kù)文件，文件名的形式為yu+原始文件名。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]