新浪科技讯 5月18日消息,方正安全熊猫病毒实验室已经检测到一种新型的用以窃取在线银行服务数据的Briz.F木马。这种新型威胁利用色情网页的诱惑,把它自己安装到用户的计算机上。病毒实验室负责人Luis Corrons指出:“这种新型Briz.F木马的出现与近来被熊猫病毒实验室检测并拆解的Briz定制版本的创作和销售有很大关联。Briz.F的特征表明它的作者要么想通过修改原始木马获得收益,要么正设法发起创作和销售恶意代码的新一轮攻击。”
包含Briz.F的网页被设计为可利用某些软件漏洞使访问这些网页的用户将该恶意代码自动下载到计算机上。然而,通过其它方式也可能遭到该木马的进攻,如电子邮件、从因特网下载的文件或P2P文件共享网络等。
Briz.F的贯用伎俩相当复杂和精细。进攻从一个名为iexplore.exe的文件的安装开始,它的真正用途是为发送进攻的战场作准备,搜寻是否存在因特网连接。如果有,它就会连到某个网页,以便下载另一个名为ieschedule.exe的文件。最后,iexplore.exe会禁用Windows安全中心服务和因特网共享访问。然后,ieschedule.exe会将被感染计算机上的相关信息(计算机名、IP地址、位置等)发送到黑客创建的一个地址。同时,它会下载一些其它文件,其中包括一个名为smss.exe的文件(该文件会修改主机文件以防止访问与安全产品有关的网站)和另一个名为ieredir.exe的文件(该文件会在用户试图连接到某些在线服务的站点时将其重定向到欺诈性的网页,这些网站大部分是在线银行的网站)。它还会从Windows保护存储器以及Outlook、Eudora、The Bat等电子邮件程序中搜集信息,然后发送给攻击者。许多被木马安装在系统上的文件会在一旦完成自己的使命后自我销毁,使得很难判断某个用户是否已经被Briz.F攻击。
主动防御技术入侵防护TruPreventTM技术已经检测并阻断了Briz.F,而无需预先对其加以识别。 因此,安装了这些技术的计算机从一开始就可以抵御来自该威胁的攻击。
“类似Briz.F的恶意代码数量正呈明显上升趋势,这些代码被设计为可以逃过用户和安全厂商的注意,而后者常常因为不知道它的存在而无法及时开发出解药。这就是需要通过技术创新来解决的问题。现在,仅安装传统的防病毒软件已远远不够,必需有能在不需要更新的情况下检测到恶意软件的主动防御技术作为补充。”Corrons先生补充说。
方正安全已为现有用户中还没有使用入侵防护TruPreventTM 技术 的用户提供了升级到TruPrevent的机会,用户可根据自己所使用的产品安装入侵防护TruPreventTM 技术,确保能抵御未知的病毒和入侵。有关入侵防护TruPreventTM 技术的更多信息,请参考www.foundersec.com/product/truprevent.htm
为了尽可能多地帮助用户对系统进行扫描和清毒,方正安全向用户免费提供了在线病毒扫描工具 Panda ActiveScan, 该工具同样能检测间谍软件。用户可以在www.foundersec.com/tech/zlxz.htm下载。
