病毒搭春运班车 AVG提醒用户买票当心

    泡泡网软件频道1月31日 随着中国传统假日春节的来临，木马产业链开始了新一轮的“话题攻击”，今日国际知名的安全软件厂商AVG支援中心提醒广大用户，谨防木马和下载器的攻击，随时更新病毒库做好应对措施。

    由于反病毒软件的日新月异，木马制造者为了获得利益，也在不断的更新木马种类，这对反病毒工作来说是一项极大的挑战。同时，为了达到诱骗用户点击木马以运行恶意程序，木马制造者多结合时事新闻话题，制造一些极具诱惑性的挂马图片或链接诱惑用户点击。而现在较为流行的种马方式是在网页中植入“下载者”进行攻击。

    所谓“下载者”是一类计算机病毒程序，按照国际上的病毒命名惯例为“Trojan-Downloader”一类，这类木马程序的主要内容为：指引中毒用户的计算机到黑客指定的URL地址去下载更多的病毒文件或者木马后门文件并运行，使得黑客获得更大操作权限，为黑客成功打开后门。下载者的没有固定的形态，但所能实现的功能较多，通过下载者，受害主机会源源不断的“被”下载越来越多的盗号木马和各种CPA插件。反映在用户身上，就是发现电脑运行越来越慢，以及不定时的自动打开各种网站。这对用户的正常办公带来了极大的困扰。

     截止上周末，AVG支援中心表示已经截获了一个非常流行的下载者木马“winsoft下载者”，它随着“春节 买票”、“转让车票”、“低价卧铺车票”等热门关键字而来。由于广大用户回家心切，上网时不太注重网页的安全性，使得这种木马有了可乘之机。同时由于支付宝的便利性，很多用户被虚假的网页钓鱼，在非正规的网站“购票”造成了巨大的损失。

    木马利用浏览器的漏洞，隐藏在多个网页当中，当用户计算机存在安全隐患时，下载者利用漏洞自行静默安装在用户的计算机上。

    这些下载器以很多的形式出现，但是共同点就是指向的下载网址。下载器会尝试去循环检查以上的链接是否可以可用，如果可用则发送Http Get的请求，根据服务器端的返回内容进行进一步的操作。

    今日，AVG支援中心检测发现该下载者存在以下显著特点：

    1、指向的下载网址可变，不易被阻断，下载地址的大部分是固定的，变化的只是数字部分，变化范围从1-101.活跃的链接也是变化的。（可见这条木马产业链上，木马制造者投入了多个域名进行攻击。）

    2、下载的内容可变，服务器可以灵活调整传输到用户系统的病毒文件，从目前的检测来看，主要以针对主流游戏的盗号木马居多。

    3、下载行为隐蔽，不易被发觉，研究人员发现病毒在发送Http请求时，有一个参数标识着当前用户的特征，如果这个标识在服务器已有记录，则不会重复下载，因此下载器并不是长期活跃在用户的系统中，给查杀带来一定困难。

    现在，AVG全功能安全软件2011以及其他专业全功能安全软件，已可以做到自动阻断winsoft下载者病毒。AVG安全专家也提醒广大用户，春节期间谨防“话题攻击”，为自己的爱机安装杀毒软件以免受不必要的损失。■