最近一種名為Tubrosa的“點擊欺詐木馬”正在世界范圍內泛濫，這種惡意木馬會利用受害者的電腦后臺訪問網絡視頻，并悄悄地點擊視頻中的內嵌廣告以賺取廣告收入。

　　關于點擊欺詐木馬

賽門鐵克的博文中陳述道：

“幾周前，我們注意到一個包含兩個模塊的點擊欺詐木馬(被檢測為Trojan.Tubrosa)，該木馬利用YouTube廣告賺取收入。攻擊者通過使用該木馬危害網民計算機，并用這些計算機人為地增加他們的YouTube視頻訪問量。這使得攻擊者能夠利用YouTube將他們的非法活動轉變為合法收入。”

工作原理

該點擊欺詐木馬由兩個模塊組成，一個模塊通過釣魚郵件傳播，第二個模塊被前一個模塊從遠程服務器中下載并在受害電腦上運行。Tubrosa從C&C(命令與控制)服務器接收近千個YouTube鏈接列表，并在受害者電腦上以后臺形式打開這些鏈接。

該木馬會使用一些技巧來避免引發懷疑：比如當其在后臺打開視頻的時候，會關閉了揚聲器的音量。貼心的是即使受害電腦原先未安裝Flash播放器，該木馬也能夠幫你下載和安裝播放器，確保觀看視頻能夠順利進行。

迄今為止，黑客已經通過這種惡意活動賺取了幾千美元，并且很可能他們同時也在進行其他類似的惡意活動。

“YouTube合作伙伴計劃使用一個驗證過程來驗證用戶賬號的正常性。為了繞過谷歌的安全檢測，該木馬利用兩個PHP腳本來動態地改變引用(REFS.txt)和用戶代理(UA.txt)。這就使得惡意軟件能夠偽裝成與谷歌服務器的一個新的不同連接，看起來就像是另一個不同用戶連接到同一個視頻一樣。”

感染用戶分布

攻擊者從2014年8月份開始傳播該惡意軟件，目前惡意活動仍在進行中。Tubrosa點擊欺詐木馬感染的系統主要分布在韓國、印度、墨西哥和美國。

　　安全建議

電腦感染該木馬的中招指標是電腦性能嚴重下降。為了防止電腦感染點擊欺詐木馬，安全專家給出了以下幾點建議：

1、謹慎對待來路不明或可疑的電子郵件。

2、不要點擊來路不明、可疑電子郵件中的鏈接。

3、不要打開來路不明、可疑電子郵件中的附件。

4、使用專業的安全軟件。