也许有些人还不知道，黑洞攻击类病毒作为目前最流行的网络攻击工具，在黑市上甚为抢手，其制造者往往获利颇丰。近日，密切关注各类网络威胁的Websense得到消息， “黑洞攻击包”(Blackhole Exploit Kit)即将出现新的版本。病毒制造者在俄国完成升级后决定将其贩售，并在一家地下交易论坛上发布了广告。

新版的黑洞攻击包将具备如下特性：

1.含动态的URL生成器，使原本针对静态URL进行的病毒鉴定方式失去意义;

2可执行的URL将阻断IP信息，使得反病毒公司无法精准定位，反病毒检测的时效将大打折扣;

3.在劫持页面中使用验证码，防止病毒投放者以外的人访问，也就意味着，原本粉碎性暴力清除病毒的方式也将失效;

您点击这里就可以看到制造者售卖病毒的英文版广告，并查看完整的病毒特性说明。

Websense的网络安全专家从ThreatSeeker Network中提取了一些病毒样本，检测其是否含有新版“黑洞攻击包”病毒。不出所料，从不久前的一系列恶意电子邮件攻击事件中拦截下来的病毒样本中，我们发现了“黑洞攻击包”。它们如同时装秀上不停换装的模特，不断变化出各种显示乱码php页面(见图1)，上面赫然显示着许多恶意链接。

图1：显示乱码的php页面

虽然如此，但我们网络专家们并没有从此次分析中收获太多的惊喜，因为尚且无法确定检测到的样本就是新版的病毒——Blackhole Exploit Kit 2.0。如图2所示，专家们将乱码破译，发现第五行代码中包含PluginDetect语句，而根据新版病毒的售卖广告所称，病毒作者已不再使用该语句了。

图2：破译后的php页面

Websense ThreatSeeker Network将继续密切关注此类威胁，并通过高级分类引擎(ACE™)来保护客户的安全。