您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给谢幺
发送

0

下载种子要当心了!新型木马靠电影种子传播,已感染超2万台电脑

本文作者:谢幺 2017-04-11 17:44
导语:以后下载种子也要小心了,可能会遇到假的种子。

种子是个神奇的东西。

  • 小时候我得知,发芽的种子能掀翻最坚硬的岩石;

  • 长大后我发现,种子能让我赢来众多网友的祝福,哪怕素未谋面。

下载种子要当心了!新型木马靠电影种子传播,已感染超2万台电脑

【图片来自网络】

种子是如此受欢迎,以至于黑客用它来传播木马病毒,短期内就感染了超过 20,000 台电脑,而且这一数量仍在持续增长……

最近,ESET 安全实验室发现了一个由 20,000 多个机器组成的僵尸网络,它们主要针对 WordPress 博客网站发起攻击。有意思的是,感染用户机器的木马比较奇特,主要是通过电影的种子的方式来传播,至于是什么电影,安全研究员没说。

根据ESET研究人员的解释,自去年六月份以来,一种叫做"Sathurbot ”的木马开始蔓延开来,它的传播方式主要是引诱用户下载盗版内容的的种子文件(Torrent)。其中很大一部分带木马的文件都来自于WordPress 网站页面 。

据雷锋网了解,木马的传播方法是这样的:

不明真相的群众打开了一个看似“正常”的种子(Torrent)文件,里头放着一部名字看起来“正常”的影片、一个“播放器的解码器”,以及一个类似“看片须知”的文本。


文本会告诉用户,想要看这部片,需要先安装解码器。


一般讲到这里,你应该就明白了,这个解码器程序就是恶意木马,打开后它会弹出一个文件错误的框,让你以为文件失效,然后在后台默默加载一个叫“sathurbot DLL”的文件,开始连接远程服务器,等待攻击者发布指令。

感染之后,Sathurbot 会自动更新和下载木马“全家桶”,让受害者的机器沦为肉鸡,大量肉鸡组成一个巨大的僵尸网络,在攻击者的指挥下对其他网站发动攻击。Sathurbot 会用网络爬虫技术自动搜寻基于 Wordpress 网站,然后用尝试不同的账号密码来登录这些网站,也就是所谓的“撞库”。

ESET 的研究人员表示,用这种方式来进行撞库有一个好处:

Sathurbot 僵尸网络中的每个肉鸡在尝试登录时,每次只在一个网站尝试一次或几次。这样就可以避免因为频繁登录而被拉入黑名单。


一个攻击者控制2万台机器,每台机器尝试一个账号密码,每次都能撞2万次,威力巨大。

当他们成功破解另一个网站的管理员账号密码时,会再次在网上挂上一个充满诱惑的种子,吸引更多的人来点击、下载、沦为肉鸡、攻击,无限循环。正如愚公移山那样——“子子孙孙无穷匮也, 而山不加增, 何苦而不平?”

下载种子要当心了!新型木马靠电影种子传播,已感染超2万台电脑

就是一个这么简单的套路,已经俘虏了两万多台机器,而且数量仍在增加。

在雷锋网编辑看来,其实只要不打开种子里面的可执行文件就能完全避免感染,然而竟有几万人依然不顾一切去打开它,究竟是怎样的冲动驱使着这些受害者?雷锋网编辑不是太懂。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑

关注网络安全、黑客、白帽子那些事, 欢迎来聊聊你的故事。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说