黑洞攻击包升级至版本2.0,Websense火速检测样本

2012 年 9 月 22 日6890

  也许有些人还不知道,黑洞攻击类病毒作为目前最流行的网络攻击工具,在黑市上甚为抢手,其制造者往往获利颇丰。近日,密切关注各类网络威胁的Websense得到消息, “黑洞攻击包”(Blackhole Exploit Kit)即将出现新的版本。病毒制造者在俄国完成升级后决定将其贩售,并在一家地下交易论坛上发布了广告。

  新版的黑洞攻击包将具备如下特性:

  1.含动态的URL生成器,使原本针对静态URL进行的病毒鉴定方式失去意义;

  2可执行的URL将阻断IP信息,使得反病毒公司无法精准定位,反病毒检测的时效将大打折扣;

  3.在劫持页面中使用验证码,防止病毒投放者以外的人访问,也就意味着,原本粉碎性暴力清除病毒的方式也将失效;

  您点击这里就可以看到制造者售卖病毒的英文版广告,并查看完整的病毒特性说明。

  Websense的网络安全专家从ThreatSeeker Network中提取了一些病毒样本,检测其是否含有新版“黑洞攻击包”病毒。不出所料,从不久前的一系列恶意电子邮件攻击事件中拦截下来的病毒样本中,我们发现了“黑洞攻击包”。它们如同时装秀上不停换装的模特,不断变化出各种显示乱码php页面(见图1),上面赫然显示着许多恶意链接。

  

Websense

  图1:显示乱码的php页面

  虽然如此,但我们网络专家们并没有从此次分析中收获太多的惊喜,因为尚且无法确定检测到的样本就是新版的病毒--Blackhole Exploit Kit 2.0。如图2所示,专家们将乱码破译,发现第五行代码中包含PluginDetect语句,而根据新版病毒的售卖广告所称,病毒作者已不再使用该语句了。

  

Websense

  图2:破译后的php页面

  Websense ThreatSeeker Network将继续密切关注此类威胁,并通过高级分类引擎(ACE™)来保护客户的安全。

0 0