小新打黑(45)

安全阵线

2011年11月14日 第45期

挂马?NO 当下流行钓鱼

不法分子设下钓鱼陷阱的方式有很多,最主要的方式是用模板搭建钓鱼网站,其次是窜改正常网站中的某些网页。据小编观察,利用后一种方式炮制的钓鱼网站多起来了,值得广大网友警惕。

例如,小编发现一些正规商业网站、高校网站的极少部分页面被窜改为各种中奖钓鱼页面,大部分页面是正常的,网站的管理员如果不细心或者不定期维护的话,很难发现问题。不法分子为什么要采取这种方式炮制钓鱼网站呢?

原因一,挂马不吃香了。云安全大大强化了杀毒软件和安全辅助工具对付挂马网站的能力,很多黑客入侵网站后首先考虑的不再是挂马,而是设下钓鱼陷阱,这样一来就能够节约其注册域名、租用网络空间的成本。原因二,隐蔽性更强。如果域名是正规厂商的,很容易通过杀毒软件和安全辅助工具的检查,降低了被查杀的几率。

总的来说,不法分子采取的这种钓鱼方式危害极大,隐蔽性更强,对安全厂商而言增大了他们的压力。对普通网民而言,不管钓鱼网站的域名多么正规,只要不抱着“天上掉馅饼”的心态,就不会上当受骗。

系统安全:广告木马很嚣张

背景:近日,国家计算机病毒应急处理中心发布了安全警报,他们发现一种广告木马变种Trojan_Startpage.AQLK在网上疯狂传播,肆意攻击网民。该病毒受到多家安全厂商的重点关注。

小编:目前,广告木马很嚣张,变种不断。这是因为国家加大了打击盗号等犯罪行为的力度,一些不法分子出于畏惧放弃了明火执仗的抢劫,改为利用广告传播这种更加隐蔽更加难以定罪的方式牟利。下面,小编就来分析一下Trojan_Startpage.AQLK。

●该木马会修改受感染系统中IE的配置信息。

●该木马会查找系统中是否安装了其他的主流浏览器,如果安装了则执行恶意代码程序指令,将其默认首页窜改为不法分子指定的广告网站。

●该木马运行后,会删除IE收藏夹里面的历史记录,取而代之的则是其指定的广告网站。

●该木马会窜改注册表信息,让系统无法显示隐藏文件和系统文件,以增加隐蔽性。

●该木马的一些相关衍生病毒,会在桌面生成两个IE图标。

综上所述,不法分子编写这一类型的木马及其变种的目的是为了推广广告从而获取一定的经济利益。主流的杀毒软件和安全辅助工具已经可以防御该木马及其衍生变种,只要确保它们正常运行即可。

45-f05-01.jpg

@tulipbar:最讨厌广告木马了,老是推广一些导航网站。

@猪也五奈:我的电脑里面就老出现淘宝客的链接,烦死了!估计也着了广告木马的道。

下载安全:暗藏风险的《乔布斯传》电子书

背景:来自360的安全报告显示,随着《乔布斯传》热卖,相应的盗版电子书也出现在不少网站中。然而这些盗版电子书中竟然有30%以上捆绑了各种木马。目前,已有超过14万人因为下载浏览《乔布斯传》电子书遭到木马攻击。

小编:在百度或者谷歌中搜索“乔布斯传”,会看到数百万条搜索结果,再查看一下“乔布斯传”的搜索频率,会发现在最近一两月出现了爆炸式增长。如此庞大的用户需求,自然会被不法分子盯上。下面,小编就来剖析一下此类威胁:

●有部分捆绑木马的《乔布斯传》盗版电子书使用了Word图标进行伪装,外观和普通的文档没有区别。

●有部分木马是广告木马,它们的目的是窜改浏览器主页,强迫用户访问不法分子指定的网站,有的甚至会时不时地弹出广告页面。

●有部分木马是盗号木马,它们的目的是监视用户电脑的进程,一旦发现有热门网游就会窃取该网游的账号和密码。

●有部分木马会盗取用户的文件资料和隐私数据。

●有的《乔布斯传》并非当前的热销版本(沃尔特·艾萨克森所著版本),而是以往其他作家撰写的乔布斯相关内容,甚至有的根本就是用这个名气忽悠人。

小编建议,下载此类电子书时要提高警惕,要启用安全辅助工具或杀毒软件的下载保护功能。如果在线云鉴定的结果是未知,则不要打开,或者在杀毒软件、安全辅助工具的沙箱中运行。

45-f05-02.jpg
45-f05-03.jpg

@纳卡尼丁孙:我下了三部《乔布斯传》,都是假的。

@时光的牧童:有的《乔布斯传》版本翻译得太烂了!

安全百科: 色情网站抢注域名

背景:最近,域名信息网站Domain Name Wire宣布,苹果向世界知识产权组织(World Intellectual Property Organization,简称WIPO)提交了一份申请,要求注销七个被抢注的含有苹果注册商标“iPhone”的色情网站域名。

小编:色情网站抢注域名是很普遍的现象(在国内外都很流行),为什么会这样呢?在回答这个问题之前,我们先来看看这七个含有苹果注册商标“iPhone”的域名(部分字符用*号代替):

●iphonecamforce***

●iphonecam4s***

●iphoneporn4s ***

●iphonesex4s***

●iphonexxxforce***

●iphone4s***

●porn4iphones***

在搜索引擎中看到这些域名第一反应是什么?这个是苹果的相关网站,可以放心进入(如果标题再弄得更吸引人的话,诱惑力就更强了);对一些杀毒软件和安全辅助工具来说,很难鉴定域名的真伪从而不会报警。

需要注意的是,一些不法分子抢注域名不仅仅用来炮制色情网站,还有的用来进行网络诈骗,例如网上曾经出现过iPhone 5的钓鱼网站。

小贴士 | TIPS

苹果为什么不直接与域名所有者联系,而是通过WIPO提出注销申请呢?WIPO是联合国下属的一家机构,创立于1967年,它成立的一个原因就是为了控制“抢注域名”现象——即购买名称类似于别人公司、产品和服务的域名。