微商引流快的方法,挂马网站后怎么解决,挂马网站阻挡功效先容

腾讯电脑管家浏览器破绽防御模块上报的数据显示,自7月起,阻挡到的挂马网页地址数目发生了急剧增进。通过进一步剖析发现,这批木马不仅可以在用户电脑中安装大量的推广软件,甚至另有可能举行盗号等恶意行为,给用户的电脑和帐号带来风险。

使用浏览器破绽挂马是现在互联网上最常用的攻击手段。它行使了IE等浏览器在开发过程中遗留的一些缺陷,可以在用户不知情的情形下运行攻击者指定的恶意程序。由于去年4月微软已经住手对Windows XP系统的维护,这就意味着微软不会在再对厥后的公然破绽宣布任何平安更新,以是一些已经宣布的破绽在XP系统中还将长期存在。正因为如此,破绽挂马已经被许多玄色产业行使,用于在未打补丁的系统中自动执行恶意程序。通过梳理腾讯电脑管家近期对挂马网页的阻挡数据,我们可以一窥玄色产业的内幕。

0x00 影响局限


7月以来,使用破绽举行挂马的网页泛起显著的增进态势,现在逐日阻挡的网址已经跨越3000个。

破绽挂马网站趋势剖析

从用户漫衍地域上来看,受害用户较多的区域为广东、山东、河南、河北、江苏等省。

破绽挂马网站趋势剖析

0x01 挂马网站


大部分破绽的行使原理是使用浏览器剧本举行攻击,以是攻击者第一步需要在网页里埋伏下对应的攻击剧本,然后守候用户接见网页时触发。

从网站类型上来看,攻击者一样平常是自建一些导航类或色情类的网站,吸引用户自动接见。也有一些攻击者会先购置大型网站上的广告位,然后在用户浏览广告的时刻悄悄触发。

破绽挂马网站趋势剖析
破绽挂马网站趋势剖析

取一天的数据,可以看到恶意网址在一天内被阻挡的时间漫衍情形,从8点之后阻挡挂马网页的数据连续稳固,在中午2点和午夜11点泛起了两个巅峰:

破绽挂马网站趋势剖析

0x02 后门木马


用户接见被挂马的网站后,VB剧本会自动执行而且从指定的位置将恶意程序下载到用户的电脑上运行。以其中数目最多的一个木马为例:

该木马在网页上的名称叫做cale.exe(与系统程序calc.exe很相近),而下载之后保存到硬盘上的名称叫做putty.exe(与着名的网络连接工具名称一致)。

该木马首先会通过taskkill、VirtualFreeEx损坏历程、映像挟制等多种方式,竣事电脑中的平安软件。

免费网络推广软件有哪些,互联网免费有效的推广方法分享

破绽挂马网站趋势剖析
破绽挂马网站趋势剖析
破绽挂马网站趋势剖析

接下来,木马会释放一个驱动,该驱动会恢复atapi的IdePortDispatchDeviceControl ,IdePortDispatch两个ioctl dispatch,用于匹敌网吧还原软件。然后发送srb穿透还原软件,把自身写入磁盘,到达永远驻留的目的。

破绽挂马网站趋势剖析
破绽挂马网站趋势剖析

同时,木马会接见一个网络地址,获取接下来要下载的木马文件,依次执行。使用网络地址的目的在于,木马作者可以随时替换其中的内容,到达差别的控制目的,实际效果等同于一个简朴的后门。在剖析木马的时刻,该地址返回的内容如下:

破绽挂马网站趋势剖析

经剖析,这些链接中的木马会继续举行盗号等进一步的恶意行为。

0x03 盗号木马


我们选择前文链接中一个对照有特点的盗号木马举行剖析。

该木马启动以后,首先在windows目录释放一个可执行文件,名字为随机天生。

然后竣事有关于QQ软件的一切历程,迫使用户重新启动QQ。

破绽挂马网站趋势剖析

接着该木马进入一个无限循环,用于监控用户重启QQ的操作。循环中每隔100毫秒枚举一次当前历程,若是发现了有QQ历程,解释用户重新启动了QQ,则立刻竣事掉真正的QQ历程,而启动刚刚释放的可执行文件举行取代。

破绽挂马网站趋势剖析

这个可执行文件的作用就是使用一个伪装的QQ登录窗口,诱骗用户在其中输入QQ号和密码。可以看到,这个上岸窗口确实做得很真切,大量细节也很到位,跟真正的登录窗口基本无法分辨,用户很容易受骗,以为是真的QQ登录窗口。

破绽挂马网站趋势剖析
破绽挂马网站趋势剖析

当用户输入了QQ号密码点击上岸以后,木马会悄悄把内容记录下来,以HTTP GET的方式,上传到木马作者的服务器上。如图,假设输入QQ号:111111111 密码:22222222:

破绽挂马网站趋势剖析

可以看出,Windows目录下的这个可执行文件才是木马最要害的恶意行为的载体,之前的手段包罗网页挂马、逃避杀软,逃避还原软件,驻留等等,都是为了这个最终的木马扫清障碍。可见现在木马分工极其明确,各个模块都有各自的职责。

0x04 广告推广


除此之外,另有一些网页挂马后下载的木马的作用是推广软件。当接见这些网页以后,过一会儿电脑中就会多出林林总总的软件,木马作者通过安装软件,向软件作者索要推广用度从而赢利。下图是安装此类木马一段时间之后,桌面上多出来的软件快捷方式和推广软件的界面:

破绽挂马网站趋势剖析

本文来源于自互联网,不代表n5网立场,侵删。发布者:虚拟资源中心,转载请注明出处:https://www.n5w.com/251488.html

(0)
打赏 微信扫一扫 微信扫一扫
虚拟资源中心虚拟资源中心网络小白
上一篇 2020年7月7日 13:30
下一篇 2020年7月7日 13:30

相关推荐

联系我们

电话:

在线咨询:点击这里给我发消息

邮件:@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

公众号