最近,一種獨特的惡意軟體利用互聯網新聞標題廣告作為跳板,開始發動攻擊。而且,網絡罪犯所創造的這款最新的惡意軟體不會在受感染計算機上創建任何文件。卡巴斯基實驗室的安全專家揭開了這種隱藏攻擊的面紗。這類攻擊利用了一些知名俄羅斯新聞網站的站內廣告漏洞。安全專家警告,這類攻擊很可能在其他國家同樣出現。

卡巴斯基系列軟體新版本下載:
卡巴斯基安全部隊2013	點擊本地下載
卡巴斯基安全專家	點擊本地下載
卡巴斯基反病毒軟體2012	點擊本地下載

　　卡巴斯基實驗室的調查表明,一些俄羅斯媒體網站在其頁面上使用了adffox廣告系統。用戶訪問這些頁面時,就可能被惡意軟體所感染。當用戶用瀏覽器訪問這些頁面並下載新聞廣告時,會被重定向到包含java漏洞利用程序的惡意網址。但是同標準的瀏覽即下載攻擊方式不同,這類攻擊所採用的惡意程序並不會載入計算機磁盤,而是僅出現于計算機的內存中。所以,利用反病毒解決方案很難檢測和攔截其攻擊行為。

　　惡意軟體會充當僵屍程序,向服務器發送用戶的瀏覽歷史等數據。如果被盜的數據中包含任何關於網上銀行服務信息,網絡罪犯會在受感染計算機上安裝針對網上銀行的盜號木馬,試圖竊取訪問在線銀行系統的機密信息。這些盜號木馬能夠針對俄羅斯多家銀行的在線服務發動攻擊。

　　調查結果還顯示,adfox網絡本身並不是這次感染的源頭。網絡黑客利用被攻陷的adfox客戶端賬號,在新聞banner中修改和添加了惡意網站代碼。通過在廣告系統中修改代碼,網絡罪犯能夠感染多個使用這一系統的網站,從而將訪問這些網站的用戶感染。所以,這次攻擊所造成的潛在受感染用戶可能超過幾萬。

　　卡巴斯基實驗室首席安全專家aleksander gostev解釋:“這是一種特殊的攻擊。網絡罪犯使用廣告網絡,能夠非常有效的在受感染計算機上安裝惡意代碼,因為很多知名網站都包含指向該服務的鏈結。此外,該惡意軟體還是近幾年發現的首款較為罕見的惡意軟體。首該惡意軟體並無”實體“,並不會在用戶的硬盤上出現,而是出現在受感染計算機的內存中。所以,其清除更為複雜。此外,雖然這次的攻擊事件主要針對俄羅斯用戶。但這類漏洞利用程序和無實體僵屍程序仍然能夠用於攻擊其他國家的用戶,因為網絡罪犯可以利用類似的國外banner網站和廣告網絡將其進行傳播。此外,網絡罪犯可能不僅使用的lurk木馬,還可能使用其他惡意軟體感染用戶系統。”

　　儘管該惡意軟體只有在用戶重新啟動操作系統後才可以運行,但被感染用戶很可能還會訪問被感染的新聞網站。卡巴斯基實驗室警告用戶,目前針對此類惡意威脅,只有及時安裝更新安全軟體才能夠杜絕被感染。所以,要修復其中所使用的cve-2011-3544 java漏洞,建議用戶安裝最新的oracle安全補丁,下載地址點擊這裡