瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【讨论】警惕软件钓鱼,360安全卫士磁碟机专杀工具让我中了毒!【原创】

1   1  /  1  页   跳转

【讨论】警惕软件钓鱼,360安全卫士磁碟机专杀工具让我中了毒!【原创】

收藏
gunak74
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-03-25
  • 来自:
发表于: 2008-03-25 20:36 | 显示全部 短消息 资料
字号: 1楼

【讨论】警惕软件钓鱼,360安全卫士磁碟机专杀工具让我中了毒!【原创】

这两天“磁碟机”病毒闹得很凶很猖狂,弄得我这两天上网也是小心翼翼的。今天360弹出了一个气泡说我中了“磁碟机”病毒,需要下载专杀工具,打开360就看到了让我下载磁碟机专杀的提示。



它奶奶的! 还是中招了,二话不说赶紧下载专杀吧。下完安装时卡巴斯基主动防御拦了几下,出于信任360的原因也就一路允许下去,结果不一会硬盘灯长明电脑变的很慢,然后弹出一堆错误信息的对话框。

感觉事情不对后,我按了Ctrl+Alt+Del希望打开任务管理器,结果我发现任务管理器的按钮是灰的,连关机按钮都没有了。这时我还以为是“磁碟机”造成的问题。

没办法机器太慢,硬重启进安全模式 。安全模式居然还能进,用360看了一下,发现注册表启动项里多了一个myexe的项值为D:\ Deity.exe。桌面和几个分区根目录下都有名为Killme的Bat文件,里面的内容只有一句话“赞美女神,女神的容光将照耀世界”。

用同事的机器上网一搜,发现这不是磁碟机,而是伪装成磁碟机专杀工具的一个病毒文件,中了这个病毒只需要在安全模式下, 删除其注册表启动项,然后删除分区根目录下的Deity.exe文件即可。另外由于它屏蔽了 任务管理器、 关机按钮、及桌面右键、另外释放盗号木马,使用360即可彻底查杀恢复。



查杀完后我就研究是怎么中招的,磁碟机专杀我是从360官方下载的啊,难道360被黑了不成?进迅雷仔细看了看这个所谓专杀的下载地址:
http://www.ntyz.org/sysmanage/news/UploadFiles/2008225193156334.exe

不是在360的网站上啊,难道是360的合作伙伴。www.ntyz.org这个网站也不像啊,这样一来,不会是我中了木马修改了360的警告消息先骗取我们信任,再利用我们的麻痹心里安装木马文件吧。

我打开了360的安装目录,在我机器上是D:\Program Files\360safe。随便找了个Dat文件删除,居然就成功了,以前还真没想到用了这么久的360竟然没有自我保护功能。

在360safe文件夹下发现了2个ini,打开Links.ini一看一切豁然开朗。

Links.ini里面开头的配置是

[LINK0]
text0=您的机器已经感染“磁碟机”病毒请立即下载
blink0=false
[LINK1]
text0=360磁碟机病毒专杀工具!
blink0=false
space0=30
url1=http://www.ntyz.org/sysmanage/news/UploadFiles/2008225193156334.exe
text1=立即下载

我的360在界面上显示为:



而这个配置是可以随意修改的,如果我们把text0的值改为“100元出售灰鸽子”



看360安全卫士买灰鸽子了吧。由于360的配置文件没有加密再加上对自身没有任何保护,很容易被恶意软件利用实现欺骗 。

360这个位置原来的内容是买卡巴斯基的。



如果木马修改配置文件进行钓鱼攻击,制造一个假的在线支付网站,然后攻击者再真准备一些盗版免费能用的卡巴Key文件完成交易,如果真的是这样的话,用户花钱买了假正版,还神不知鬼不觉的。

我上百度搜了一下“正版卡巴被封”有19,500 多篇。都说卡巴封正版Key, 这里面会不会有一些人是从360软件上被钓鱼购买了假正版?

黑客已经开始利用这种符合型的钓鱼攻击了。我们常用软件中的提示信息我们通常是比较信任的, 黑客直接修改软件中的提示信息的做法比Web钓鱼更具欺骗性。我们不得不警惕。

给大伙几个建议。
一.    不要轻易相信软件的提示信息,消息需进行多方确认。
不要轻易相信360安全卫士的任何提示信息包括气泡、里面的文字内容等,面对此类信息一定要多方确认。如果在线购买卡巴斯基最好直接到卡巴斯基官方网站购买(看准网址www.kaspersky.com.cn)。

二.    暂时不用程序的程序,最好彻底关闭

尽量不要让没用的程序跑到右下角去,因为让它们呆在哪里的话,它们不是弹气泡信息,就是搞一些损用户利己的事情。如迅雷待在右下角时就会共享用户的部分文件,偷偷的上传文件,占我们的带宽。360安全卫士的实时监控与卡巴斯基的功能完全重复,除了占系统资源外就是一鸡肋。这些程序还有一共同特点,就是一到右下角就要弹气泡,容易被黑客用来欺骗。所以使用这些功能性的程序最好使用时再打开,使用后尽量完全关闭,减小安全风险和资源占用。

三.    浏览器换到IE7.0或Fire-fox2.0,打开反钓鱼功能
      现在的钓鱼攻击越来越多,并且走复合发展的路线。在美国2007钓鱼攻击造成的损失大约是32亿美元,在电子交易日渐发达的今天我们更要提到警惕。
      下图是一个冒充卡巴的钓鱼网站
最后编辑2008-03-30 20:32:28.187000000
分享到:
gototop
 
gunak74
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-03-25
  • 来自:
发表于: 2008-03-30 16:51 | 显示全部 短消息 资料
字号: 2楼

你开了自我保护也没用的,不服你自己试试,事实胜于雄辩!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT