想更新瀏覽器嗎?要先確認是從合法管道下載,不要下載到偽裝成瀏覽器更新程式的惡意軟體到電腦上。
趨勢科技最近看到一篇報導指出,有許多網站提供瀏覽器更新程式,像是Firefox、Chrome和Internet Explorer,還有其他更多版本。使用者點到惡意廣告就有可能進入這些網頁。
這惡意威脅的幕後黑手想盡辦法讓這陷阱看起來像是真的。這些網頁就如下圖所示,看來就像是瀏覽器的官方網站。為了進一步引誘使用者下載假更新程式,這網站甚至還提供了整合的防毒保護:
只是使用者下載的並不是更新程式,而是被偵測為JS_DLOADR.AET的惡意程式,它會改變下載的二進位檔案而有不同的惡意行為。
接下來,惡意JavaScript會下載TROJ_STARTPA.AET,並儲存成瀏覽器下載目錄內的 INSTALL.EXE。根據趨勢科技的初步分析,這木馬程式會修改使用者的IE瀏覽器首頁為https://{BLOCKED}rtpage.com,這是一個可能含有其他惡意程式的網站,好進一步感染使用者的電腦。
軟體廠商會定期發表更新以確保使用者獲得最新的功能和改進。不幸的是,網路犯罪分子會用在社交工程陷阱( Social Engineering)引誘使用者下載惡意軟體。這些人會努力地讓他們的假網站看起來跟真的完全一樣。在去年十月,趨勢科技看到有看似正常的網站提供假Adobe更新程式,被偵測為TSPY_FAREIT.SMC。
想避免這種騙局,使用者必須只從合法來源或軟體廠商的官方網站來下載更新。許多瀏覽器也內建自動更新功能。使用者還應該避免點入廣告或訪問未知網址。
趨勢科技主動式雲端截毒服務 Smart Protection Network可以保護使用者免於此惡意威脅,去封鎖這些惡意網站並在使用者的電腦上偵測和刪除JS_DLOADR.AET和TROJ_STRATPA.AET。
@原文出處:Malicious Ads Push Fake Browser Updates作者:Roddell Santos(威脅分析師)
- PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載
◎延伸閱讀
《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構
會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)
《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo
