下載種子要當心了!新型木馬靠電影種子傳播,已感染超2萬台電腦

雷鋒網 於 12/04/2017 發表 收藏文章
種子是個神奇的東西。

引用
  • 小時候我得知,發芽的種子能掀翻最堅硬的巖石;
  • 長大後我發現,種子能讓我贏來眾多網友的祝福,哪怕素未謀面。


【圖片來自網絡】

種子是如此受歡迎,以至於黑客用它來傳播木馬病毒,短期內就感染了超過 20,000 台電腦,而且這一數量仍在持續增長……

最近,ESET 安全實驗室發現了一個由 20,000 多個機器組成的僵屍網絡,它們主要針對 WordPress 博客網站發起攻擊。有意思的是,感染用户機器的木馬比較奇特,主要是通過電影的種子的方式來傳播,至於是什麼電影,安全研究員沒説。

根據ESET研究人員的解釋,自去年六月份以來,一種叫做"Sathurbot ”的木馬開始蔓延開來,它的傳播方式主要是引誘用户下載盜版內容的的種子文件(Torrent)。其中很大一部分帶木馬的文件都來自於WordPress 網站頁面 。

據雷鋒網(公眾號:雷鋒網)了解,木馬的傳播方法是這樣的:

引用不明真相的羣眾打開了一個看似“正常”的種子(Torrent)文件,裏頭放着一部名字看起來“正常”的影片、一個“播放器的解碼器”,以及一個類似“看片須知”的文本。

文本會告訴用户,想要看這部片,需要先安裝解碼器。

一般講到這裏,你應該就明白了,這個解碼器程序就是惡意木馬,打開後它會彈出一個文件錯誤的框,讓你以為文件失效,然後在後台默默加載一個叫“sathurbot DLL”的文件,開始連接遠程服務器,等待攻擊者發佈指令。

感染之後,Sathurbot 會自動更新和下載木馬“全家桶”,讓受害者的機器淪為肉雞,大量肉雞組成一個巨大的僵屍網絡,在攻擊者的指揮下對其他網站發動攻擊。Sathurbot 會用網絡爬蟲技術自動搜尋基於 Wordpress 網站,然後用嘗試不同的賬號密碼來登錄這些網站,也就是所謂的“撞庫”。

ESET 的研究人員表示,用這種方式來進行撞庫有一個好處:

引用Sathurbot 僵屍網絡中的每個肉雞在嘗試登錄時,每次只在一個網站嘗試一次或幾次。這樣就可以避免因為頻繁登錄而被拉入黑名單。

一個攻擊者控制2萬台機器,每台機器嘗試一個賬號密碼,每次都能撞2萬次,威力巨大。

當他們成功破解另一個網站的管理員賬號密碼時,會再次在網上掛上一個充滿誘惑的種子,吸引更多的人來點擊、下載、淪為肉雞、攻擊,無限循環。正如愚公移山那樣——“子子孫孫無窮匱也, 而山不加增, 何苦而不平?”

就是一個這麼簡單的套路,已經俘虜了兩萬多台機器,而且數量仍在增加。

在雷鋒網編輯看來,其實只要不打開種子裏面的可執行文件就能完全避免感染,然而竟有幾萬人依然不顧一切去打開它,究竟是怎樣的衝動驅使着這些受害者?雷鋒網編輯不是太懂。

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知



資料來源:雷鋒網
作者/編輯:謝幺

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→