新型木馬靠電影種子傳播:已感染超2萬(wàn)臺(tái)電腦,種子是個(gè)神奇的東西。
小時(shí)候我得知,發(fā)芽的種子能掀翻最堅(jiān)硬的巖石;
長(zhǎng)大后我發(fā)現(xiàn),種子能讓我贏來(lái)眾多網(wǎng)友的祝福,哪怕素未謀面。
▲圖片來(lái)自網(wǎng)絡(luò)
種子是如此受歡迎,以至于黑客用它來(lái)傳播木馬病毒,短期內(nèi)就感染了超過(guò)20,000臺(tái)電腦,而且這一數(shù)量仍在持續(xù)增長(zhǎng)……
最近,ESET安全實(shí)驗(yàn)室發(fā)現(xiàn)了一個(gè)由20,000多個(gè)機(jī)器組成的僵尸網(wǎng)絡(luò),它們主要針對(duì)WordPress博客網(wǎng)站發(fā)起攻擊。有意思的是,感染用戶(hù)機(jī)器的木馬比較奇特,主要是通過(guò)電影的種子的方式來(lái)傳播,至于是什么電影,安全研究員沒(méi)說(shuō)。
根據(jù)ESET研究人員的解釋?zhuān)匀ツ炅路菀詠?lái),一種叫做"Sathurbot”的木馬開(kāi)始蔓延開(kāi)來(lái),它的傳播方式主要是引誘用戶(hù)下載盜版內(nèi)容的的種子文件(Torrent)。其中很大一部分帶木馬的文件都來(lái)自于WordPress網(wǎng)站頁(yè)面。
據(jù)了解,木馬的傳播方法是這樣的:
不明真相的群眾打開(kāi)了一個(gè)看似“正?!钡姆N子(Torrent)文件,里頭放著一部名字看起來(lái)“正?!钡挠捌?、一個(gè)“播放器的解碼器”,以及一個(gè)類(lèi)似“看片須知”的文本。
文本會(huì)告訴用戶(hù),想要看這部片,需要先安裝解碼器。
一般講到這里,你應(yīng)該就明白了,這個(gè)解碼器程序就是惡意木馬,打開(kāi)后它會(huì)彈出一個(gè)文件錯(cuò)誤的框,讓你以為文件失效,然后在后臺(tái)默默加載一個(gè)叫“sathurbot DLL”的文件,開(kāi)始連接遠(yuǎn)程服務(wù)器,等待攻擊者發(fā)布指令。
感染之后,Sathurbot會(huì)自動(dòng)更新和下載木馬“全家桶”,讓受害者的機(jī)器淪為肉雞,大量肉雞組成一個(gè)巨大的僵尸網(wǎng)絡(luò),在攻擊者的指揮下對(duì)其他網(wǎng)站發(fā)動(dòng)攻擊。Sathurbot會(huì)用網(wǎng)絡(luò)爬蟲(chóng)技術(shù)自動(dòng)搜尋基于Wordpress網(wǎng)站,然后用嘗試不同的賬號(hào)密碼來(lái)登錄這些網(wǎng)站,也就是所謂的“撞庫(kù)”。
ESET的研究人員表示,用這種方式來(lái)進(jìn)行撞庫(kù)有一個(gè)好處:
Sathurbot僵尸網(wǎng)絡(luò)中的每個(gè)肉雞在嘗試登錄時(shí),每次只在一個(gè)網(wǎng)站嘗試一次或幾次。這樣就可以避免因?yàn)轭l繁登錄而被拉入黑名單。
一個(gè)攻擊者控制2萬(wàn)臺(tái)機(jī)器,每臺(tái)機(jī)器嘗試一個(gè)賬號(hào)密碼,每次都能撞2萬(wàn)次,威力巨大。
當(dāng)他們成功破解另一個(gè)網(wǎng)站的管理員賬號(hào)密碼時(shí),會(huì)再次在網(wǎng)上掛上一個(gè)充滿(mǎn)誘惑的種子,吸引更多的人來(lái)點(diǎn)擊、下載、淪為肉雞、攻擊,無(wú)限循環(huán)。正如愚公移山那樣——“子子孫孫無(wú)窮匱也, 而山不加增, 何苦而不平?”
就是一個(gè)這么簡(jiǎn)單的套路,已經(jīng)俘虜了兩萬(wàn)多臺(tái)機(jī)器,而且數(shù)量仍在增加。
看來(lái),其實(shí)只要不打開(kāi)種子里面的可執(zhí)行文件就能完全避免感染,然而竟有幾萬(wàn)人依然不顧一切去打開(kāi)它,究竟是怎樣的沖動(dòng)驅(qū)使著這些受害者?