安吉麗娜．茱莉的新片《特務(wù)間諜》即將上演，網(wǎng)絡(luò)上卻已經(jīng)開(kāi)始出現(xiàn)“特務(wù)間諜電影”下載了，不過(guò)要小心，那可不是一個(gè)簡(jiǎn)單的盜版電影，而很可能是病毒木馬偽裝的。

安吉麗娜．茱莉新片《特務(wù)間諜》

從網(wǎng)絡(luò)截獲的兩個(gè).MOV文件（001 Dvdrip Salt.mov和salt dvdrpi [btjunkie][xtrancex].mov），都利用了安吉麗娜．茱莉的新片：特務(wù)間諜。文件看來(lái)格外引人懷疑，因?yàn)榕c一般的電影文件相比，這些 文件相對(duì)小了許多。

當(dāng)電影文件載入QuickTime后并不會(huì)有任何畫(huà)面，而是引導(dǎo)使用者去下載偽裝成 更新的譯碼器，或安裝另一種播放器等惡意軟件。根據(jù)Apple蘋(píng)果計(jì)算機(jī)表示，這兩個(gè).MOV文件并不是利用弱點(diǎn)漏洞，而是利用社交工程手法誘騙使用者下 載偽裝成電影譯碼器的惡意軟件。這與Secunia報(bào)導(dǎo)的弱點(diǎn)漏洞無(wú)關(guān)。

該木馬會(huì)在瀏覽器安裝Browser Helper Object (BHO) 工具列，用來(lái)監(jiān)控受害者的網(wǎng)絡(luò)使用習(xí)慣，并會(huì)聯(lián)機(jī)到其它網(wǎng)站下載更多的惡意程序。

經(jīng)檢查為T(mén)ROJ_QUICKTM.A的這兩個(gè).MOV文件，會(huì)引導(dǎo)使用者進(jìn)入到惡意網(wǎng)站去下載TROJ_DLOAD.QWK。播放這兩個(gè).MOV文件會(huì)出現(xiàn)假的譯碼器錯(cuò)誤信息，促使使用者下載假的更新版QuickTime。

第一個(gè).MOV文件與hxxp://{已攔阻}.{已攔阻}.53.196 /stat1/pix1.php聯(lián)結(jié)，會(huì)將使用者重導(dǎo)向hxxp://{已攔阻}.{已攔阻}.8.120/cms/976/1 /QuickTime_Update_KB640110.exe.。接著會(huì)要求使用者儲(chǔ)存/執(zhí)行該文件程序。趨勢(shì)科技已檢測(cè)出程序?yàn)?TROJ_TRACUR.SMDI。

圖1 第一個(gè).MOV文件屏幕畫(huà)面/font>

另一方面，第二個(gè).MOV文件則與 hxxp://play.{已攔阻}nstaller.com/0.c聯(lián)結(jié)，將使用者導(dǎo)向hxxp://player.{已攔 阻}nstaller.com/d77.php。接著會(huì)下載一款為T(mén)ROJ_DLOAD.QWK的文件。同樣地，此文件也會(huì)要求使用者儲(chǔ)存/執(zhí)行該文件程 序。

圖2 第二個(gè).MOV文件的屏幕畫(huà)面

喜歡下載最新影片的朋友一定要小心，文件大小異常的電影文件，以及出現(xiàn)異常提示的文件，都可能是病毒木馬化身，要小心防范。

標(biāo)簽： 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。