安吉麗娜．茱莉的新片《特務(wù)間諜》即將上演，網(wǎng)絡(luò)上卻已經(jīng)開始出現(xiàn)“特務(wù)間諜電影”下載了，不過要小心，那可不是一個簡單的盜版電影，而很可能是病毒木馬偽裝的。

安吉麗娜．茱莉新片《特務(wù)間諜》

從網(wǎng)絡(luò)截獲的兩個.MOV文件（001 Dvdrip Salt.mov和salt dvdrpi [btjunkie][xtrancex].mov），都利用了安吉麗娜．茱莉的新片：特務(wù)間諜。文件看來格外引人懷疑，因?yàn)榕c一般的電影文件相比，這些 文件相對小了許多。

當(dāng)電影文件載入QuickTime后并不會有任何畫面，而是引導(dǎo)使用者去下載偽裝成 更新的譯碼器，或安裝另一種播放器等惡意軟件。根據(jù)Apple蘋果計(jì)算機(jī)表示，這兩個.MOV文件并不是利用弱點(diǎn)漏洞，而是利用社交工程手法誘騙使用者下 載偽裝成電影譯碼器的惡意軟件。這與Secunia報(bào)導(dǎo)的弱點(diǎn)漏洞無關(guān)。

該木馬會在瀏覽器安裝Browser Helper Object (BHO) 工具列，用來監(jiān)控受害者的網(wǎng)絡(luò)使用習(xí)慣，并會聯(lián)機(jī)到其它網(wǎng)站下載更多的惡意程序。

經(jīng)檢查為TROJ_QUICKTM.A的這兩個.MOV文件，會引導(dǎo)使用者進(jìn)入到惡意網(wǎng)站去下載TROJ_DLOAD.QWK。播放這兩個.MOV文件會出現(xiàn)假的譯碼器錯誤信息，促使使用者下載假的更新版QuickTime。

第一個.MOV文件與hxxp://{已攔阻}.{已攔阻}.53.196 /stat1/pix1.php聯(lián)結(jié)，會將使用者重導(dǎo)向hxxp://{已攔阻}.{已攔阻}.8.120/cms/976/1 /QuickTime_Update_KB640110.exe.。接著會要求使用者儲存/執(zhí)行該文件程序。趨勢科技已檢測出程序?yàn)?TROJ_TRACUR.SMDI。

圖1 第一個.MOV文件屏幕畫面/font>

另一方面，第二個.MOV文件則與 hxxp://play.{已攔阻}nstaller.com/0.c聯(lián)結(jié)，將使用者導(dǎo)向hxxp://player.{已攔 阻}nstaller.com/d77.php。接著會下載一款為TROJ_DLOAD.QWK的文件。同樣地，此文件也會要求使用者儲存/執(zhí)行該文件程 序。

圖2 第二個.MOV文件的屏幕畫面

喜歡下載最新影片的朋友一定要小心，文件大小異常的電影文件，以及出現(xiàn)異常提示的文件，都可能是病毒木馬化身，要小心防范。

標(biāo)簽： 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。