批量生产毒网“吸血鬼”祸害网络
网络安全
恶意网站地址:www.9u9u9.cn
投诉人数:3734
危害程度:★★★★★
IP地址: 218.85.132.210
定位:福建省厦门市电信
恶意网站特征:提供危害极强的网页木马生成器。
恶意网站目的:利用木马生成器招揽客户,牟取不法收入。
根据《黑榜》连续几周的监测发现,进入5月后网站挂马现象愈加频繁,每周新出现的恶意网站数量直线上升,且变种繁多,多数恶意网站携带的病毒都专门针对主流杀毒软件做了免杀,导致病毒感染率居高不下。
我们分析了部分近期流行的恶意网站,发现超过一半的网站挂马都是主动的,即站长为了获取广告流量,故意在其网页嵌入恶意病毒,更有甚者,建立大量垃圾网站嵌入数十种病毒,等着浏览者上钩中招,成为一个个严重威胁网络安全的毒瘤。
那么究竟是什么原因促使挂马如此频繁?自己制作病毒对技术要求较高,显然不太实际,此外,众多恶意网站携带的病毒不论从感染方式、破坏机制,乃至文件名都惊人的相似,它们都是一些网页木马生成器批量“生产”的!正是这些隐藏在幕后的木马生成器为恶意网站暗中助阵、推波助澜,使其愈演愈烈。
我们接到不少读者举报此类木马生成器的邮件,例如近期就有读者集中反映http://9u9u9.cn/mfxixue网站在兜售网页木马生成器“中华吸血鬼”。 浏览含有该木马的网站后会弹出大量广告,并在后台下载盗号木马,企图盗取网游账号。
根据读者提供的线索,我们来到http://9u9u9.cn/mfxixue,网页制作血腥恐怖,号称“世界第一蠕虫从此诞生”,该网站自我宣传为一个精通各种编程语言的专业工作室,挖掘各种软件漏洞,且有软件定制、培训、更新等服务,并有E-mail、QQ等多个联系方式,看来该网站是一个专门从事制作病毒的非法组织。网站提供了最新版本的吸血鬼木马生成器下载,下载后运行“killers.exe”主程序,出现生成器界面。
从界面来看,此生成器功能极为强大,可实施QQ尾巴、JS脚本挂马、ARP挂马、反杀毒、感染闪存、自我保护、智能启动、自动升级、感染统计等近30种感染破坏功能,是迄今为止我们截获的最为强大的木马生成器。上述功能可在生成木马时自由勾选实现,足见其危害之大。
我们按照提示填写相关信息后,点击生成文件,这时立刻在文件夹中自动生成了“arp.exe”、“Compression.exe”、“server.exe”、“wincap.exe”四个木马文件,利用它们就可以修改注册表、添加病毒服务、进行ARP挂马。
如果不小心中了该木马,最简单的办法就是重装系统和杀毒软件,然后将杀毒软件升级到最新的病毒库后再全盘查杀(我们已将截获的最新样本紧急转发给了多个反病毒厂商),清除该木马带来的残留物。
小新点评:木马生成器正在向多功能、高破坏、易操作的方向快速发展。这直接导致建立恶意网站无需任何技术成本,即使是菜鸟黑客一天也能搭建数个极具攻击性的恶意网站,甚至集中量产,每日涌现数百上千个恶意站点。
照此任其发展,恶意网站将彻底吞噬整个互联网,届时再出手治理为时已晚。因此,对此类危害极其严重的木马生成器要加大查杀打击力度,所谓擒贼先擒王、打蛇打七寸,只要从源头上遏制住木马生成器的泛滥,定会对治理恶意网站起到事半功倍的效果。
黑榜
HOSTS反黑文件下载
最新版本:2008.06.09
文件大小:14KB
累计下载次数: 14873(截至2008年6月2日)
全球唯一下载地址:http://www.cpcw.com/web/f/host.html
使用方法:解压后将HOSTS文件直接覆盖至C:\Windows\System32\Drivers\Etc即可。为防止某些恶意网站或病毒窜改HOSTS,请确保此文件属性为“只读”。
新收录的恶意网站
赌博网站:3个
钓鱼/诈骗网站:21个
色情淫秽网站:24个
恶意下载网站:5个
传播病毒网站:192个
举报网站鉴定
读者boxboy:我的浏览器最近怎么频繁弹出http://%73%61%79%38%2e%75%73/这个网址,似乎要下载什么文件,请问这是怎么回事?
小新分析:此网站为了掩人耳目躲避追查,将域名做了加密,其真实域名为http://say8.Us ,内有多种恶性病毒。请使用本期HOSTS反黑文件屏蔽网站后,升级杀毒软件进入安全模式进行全盘查杀。
鉴定结果:不安全
读者 kali-2008:QQ上有好友推荐我去www.youxi4.com下载游戏,不知道这个游戏下载站有没问题,我想放到收藏夹里。
小新分析:经检测www.youxi4.com页面挂有多个病毒,中毒后疯狂下载众多木马。你的电脑可能已经受到感染,建议你使用本期HOSTS反黑文件屏蔽此网站,并断开网络用杀毒软件全盘查杀。
鉴定结果:不安全