黑洞攻击包升级至版本2.0 Websense火速检测样本

日期: 2012-09-18 来源:TechTarget中国

  也许有些人还不知道,黑洞攻击类病毒作为目前最流行的网络攻击工具,在黑市上甚为抢手,其制造者往往获利颇丰。近日,密切关注各类网络威胁的Websense得到消息,“黑洞攻击包”(Blackhole Exploit Kit)即将出现新的版本。病毒制造者在俄国完成升级后决定将其贩售,并在一家地下交易论坛上发布了广告。

  新版的黑洞攻击包将具备如下特性:

  1.含动态的URL生成器,使原本针对静态URL进行的病毒鉴定方式失去意义;

  2.可执行的URL将阻断IP信息,使得反病毒公司无法精准定位,反病毒检测的时效将大打折扣;

  3.在劫持页面中使用验证码,防止病毒投放者以外的人访问,也就意味着,原本粉碎性暴力清除病毒的方式也将失效;

  您点击这里就可以看到制造者售卖病毒的英文版广告,并查看完整的病毒特性说明。

  Websense的网络安全专家从ThreatSeeker Network中提取了一些病毒样本,检测其是否含有新版“黑洞攻击包”病毒。不出所料,从不久前的一系列恶意电子邮件攻击事件中拦截下来的病毒样本中,我们发现了“黑洞攻击包”。它们如同时装秀上不停换装的模特,不断变化出各种显示乱码php页面(见图1),上面赫然显示着许多恶意链接。

1:显示乱码的php页面

  虽然如此,但我们网络专家们并没有从此次分析中收获太多的惊喜,因为尚且无法确定检测到的样本就是新版的病毒——Blackhole Exploit Kit 2.0。如图2所示,专家们将乱码破译,发现第五行代码中包含PluginDetect语句,而根据新版病毒的售卖广告所称,病毒作者已不再使用该语句了。

2:破译后的php页面

  Websense ThreatSeeker Network将继续密切关注此类威胁,并通过高级分类引擎(ACE?)来保护客户的安全。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐