報紙不僅僅讓我們獲得實時新聞,還可以防止各種漏洞威脅。當我們從閱讀郵遞員送來紙質報紙變成在網上閱讀新聞,我們就將自己暴露在了危險的虛擬世界。
這次發生在我們國家的五大新聞網站之一。那些通過IE瀏覽器瀏覽該網站的用戶們可能接觸到了一個能在感染的機器里不斷自我復制的VBScript蠕蟲病毒。雖然這個病毒的始作俑者已經被控制住了,但是曾注入的惡意軟件依然偷偷進入到了中國熱門網站之一。
FireEye的動態威脅情報(DTI)在今年的1月28日首次發現一個網站遭到了破壞并執行VBS /Ramnit,而且現在還存在這問題。如果用戶瀏覽了特定的網頁并單擊“是”運行了ActiveX那么很可能受到威脅。
正如下圖所示,在HTML正文之后追加了一個惡意的VBScript。點擊進入這個頁面后,瀏覽器像平時一樣加載新聞內容,而后臺開始執行ActiveX控件。
下面兩張圖中,VBScript在TEMP文件夾中停止了一個名為“svchost.exe”的二進制文件并成功執行ActiveX。即使該系統被破壞了,它依然試圖連接到之前曾和這個木馬相關的CNC服務器——fget-career.com。
VBScript的執行和W32.Ramnit的傳遞取決于用戶的瀏覽器及瀏覽器的設置。由于Chrome和Firefox并不支持VBScript客戶端,因此只有IE用戶很容易受到這種攻擊。
幸運的是,最近的IE版本不會自動運行代碼。當瀏覽器顯示存在類似于ActiveX組件的潛在危險時就會彈出兩個警告。
只有當受害者點擊“是”,瀏覽器執行阻止的時候,IE開始在后臺執行VBScript,而用戶只能看到和平時一樣的頁面而已。
只要用戶點擊“否”禁止ActiveX組件,它們就會防止W32.Ramnit的侵入。然而,為什么這種侵入會成功?往往一個有著良好的名聲的合法網站被攻破攻擊或被惡意軟件盯上時,用戶會想當然地信任這個網站而點擊“Yes”進而被病毒感染。因此一些國際上Alexa 上排名前100的最常訪問的網站以及中國排名前25位最受歡迎的網站常常會受到這種潛在的威脅。
我們多方位檢測到了這種感染。 FireEye的多流檢測跟蹤出一條完整的攻擊鏈以及CnC通訊。雖然CnC主機已經暫停了很長一段時間,但是蠕蟲病毒的存在依然禍害著用戶,不僅僅是因為它把自己添加到所有可以訪問的HTML文件中,還把自己添加到注冊表影響著機器的性能。
因此,在瀏覽這些網頁的時候仍不能掉以輕心,小心病毒感染~
京公網安備 11010502049343號