黑洞攻击包升级至版本2.0 Websense火速检测样本

Websense 发表于:12年09月19日 11:18 [来稿] DOIT.com.cn

  • 分享:
[导读]也许有些人还不知道,黑洞攻击类病毒作为目前最流行的网络攻击工具,在黑市上甚为抢手,其制造者往往获利颇丰。近日,密切关注各类网络威胁的Websense得到消息, “黑洞攻击包”(Blackhole Exploit Kit)即将出现新的版本。病毒制造者在俄国完成升级后决定将其贩售,并在一家地下交易论坛上发布了广告。

也许有些人还不知道,黑洞攻击类病毒作为目前最流行的网络攻击工具,在黑市上甚为抢手,其制造者往往获利颇丰。近日,密切关注各类网络威胁的Websense得到消息, “黑洞攻击包”(Blackhole Exploit Kit)即将出现新的版本。病毒制造者在俄国完成升级后决定将其贩售,并在一家地下交易论坛上发布了广告。

新版的黑洞攻击包将具备如下特性:

1.含动态的URL生成器,使原本针对静态URL进行的病毒鉴定方式失去意义;

2可执行的URL将阻断IP信息,使得反病毒公司无法精准定位,反病毒检测的时效将大打折扣;

3.在劫持页面中使用验证码,防止病毒投放者以外的人访问,也就意味着,原本粉碎性暴力清除病毒的方式也将失效;

您点击这里就可以看到制造者售卖病毒的英文版广告,并查看完整的病毒特性说明。

Websense的网络安全专家从ThreatSeeker Network中提取了一些病毒样本,检测其是否含有新版“黑洞攻击包”病毒。不出所料,从不久前的一系列恶意电子邮件攻击事件中拦截下来的病毒样本中,我们发现了“黑洞攻击包”。它们如同时装秀上不停换装的模特,不断变化出各种显示乱码php页面(见图1),上面赫然显示着许多恶意链接。

图1:显示乱码的php页面

虽然如此,但我们网络专家们并没有从此次分析中收获太多的惊喜,因为尚且无法确定检测到的样本就是新版的病毒——Blackhole Exploit Kit 2.0。如图2所示,专家们将乱码破译,发现第五行代码中包含PluginDetect语句,而根据新版病毒的售卖广告所称,病毒作者已不再使用该语句了。

图2:破译后的php页面

Websense ThreatSeeker Network将继续密切关注此类威胁,并通过高级分类引擎(ACE™)来保护客户的安全。

[责任编辑:尤佳]
据国外媒体报道,市场调研公司Gartner日前发布报告称,从现在开始的三年时间后,平板电脑出货将会超越传统Windows PC,且出货量将超过72%。在这段时间里,PC出货将以更快的速度下滑。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.