“Warning!99 threat found”假警訊 假軟體 駭怕價50美金!
4年前廣告軟體,變種逾2千 三個流氓軟體家族 假軟體 真搶錢
有關流氓防毒軟體產業不斷成長,VUNDO並不是唯一嘗試以這種手法牟利的惡意程式,以偽裝成影片解碼程式而聲名大噪的 ZLOB 也有變種能夠顯示或安裝流氓防毒軟體。ZLOB 也可能與惡名昭彰的 RBN 網路有所關連。另一個同屬此類型的惡意程式是 RENOS,這個惡意程式也會顯示假病毒警訊, 藉此下載並安裝流氓防毒軟體。由於已有三個不同的惡意程式家族具有相同的企圖 (也就是金錢),因此遭這類惡意程式攻擊的可能性也愈來愈高。
其中的範例之一就是偽裝成成人影片解碼程式的 TROJ_ZLOB.ZYA,這個惡意程式會安裝一個名為 Virus Heat 的流氓防毒軟體,掃瞄您的系統,然後告訴您發現了 99 個威脅,要求您在線上支付 $50 美元購買他們的軟體。此外,它還會顯示一個 AntiVir Protect 的廣告。
有關 VUNDO 的一小段歷史:在外散播的第一個變種是 TROJ_VUNDO.A ( 2004 年 9 月 6 日,將近 4 年前)。它會收集 IE 的活動資訊,例如瀏覽的網站與傳送至遠端網站的資料等。這些資料會被用於從事廣告與行銷活動。
沒有人料想它會再度現身,並且成為連鎖感染效應的元件之一。
以下是我們偵測到的不同 VUNDO 變種數量:
http://82.{省略}.{省略}.78/netob/valera.exe
http://82.{省略}.{省略}.78/cook/lkjh.exe
http://89.{省略}.{省略}.57/dw/aaafff/gepj.dll
http://{省略}leaner.com/.freeware/index.php
http://{省略}ecleaner.com/.freeware/
一些可能會在遭感染的系統上自動安裝或顯示廣告的已知流氓防毒軟體包括:Wintools、HuntBar、BargainBuddy、Toolbar888、Altnet、BrillantDigital、Points Manager、E2Give、AdawareDelete、AlfaCleaner、AdwareBazooka、Antivirus Pro、BreakSpyware、SpyCut、CurePcSolution、DriveCleaner 2006、ErrorSafe、PerfectCleaner、ExpertAntivirus、SpyAway、AdwareSheriff、SystemStable。
視感染方式而定,VUNDO 變種可能產生不同的破壞效果:
範例 1:
使用者瀏覽惡意網站,因此而感染 DLL 型態的 VUNDO 變種。這個 DLL 會在系統中註冊為瀏覽器協助程式物件 (BHO),以便在 Internet Explorer 每一次開啟時都能執行。您會因此而被轉向流氓防毒軟體下載網頁。
範例 2:
植入的 DLL VUNDO 變種會感染 WINLOGON.EXE 與 EXPLORER.EXE,藉此常駐於記憶體中,並防止輕易被偵測及移除。一旦植入這兩個處理程序中,它會監控正在執行的處理程序,然後將其他疑似惡意的檔案下載到遭感染的系統中。可能遭監控的處理程序大多都是與防毒軟體有關的處理程序。此外,它還會終止 Microsoft AntiSpyware 應用程式的 GCASSERVALERT.EXE 處理程序。在此情況下,它並不會安裝任何流氓防毒軟體或廣告程式:
我們可以將 VUNDO 變種區分為以下幾種類型:
- 安裝 BHO
- 顯示廣告
- 將 dll 植入處理程序中
- 監控處理程序
- 下載其他惡意程式
- 監控 IE 活動
- 廣告、彈出視窗 -> 金錢
- 安裝流氓防毒軟體 -> 金錢
流氓防毒軟體產業不斷成長,VUNDO並不是唯一嘗試以這種手法牟利的惡意程式,以偽裝成影片解碼程式而聲名大噪的 ZLOB 也有變種能夠顯示或安裝流氓防毒軟體。ZLOB 也可能與惡名昭彰的 RBN 網路有所關連。另一個同屬此類型的惡意程式是 RENOS,這個惡意程式也會顯示假病毒警訊,藉此下載並安裝流氓防毒軟體。由於已有三個不同的惡意程式家族具有相同的企圖 (也就是金錢),因此遭這類惡意程式攻擊的可能性也愈來愈高。
其中的範例之一就是偽裝成成人影片解碼程式的 TROJ_ZLOB.ZYA,這個惡意程式會安裝一個名為 Virus Heat 的流氓防毒軟體,掃瞄您的系統,然後告訴您發現了 99 個威脅,要求您在線上支付 $50 美元購買他們的軟體。此外,它還會顯示一個 AntiVir Protect 的廣告。
以下是一些螢幕擷取畫面:
@原文:Uncovering VUNDO
