据国外媒体报道,显然,该黑客攻击程序的幕后有一个团伙,Finjan首席技术官本·伊塔哈克表示,该恶意程序最初在西班牙发现,主要窃取用户登录名和密码等敏感信息,Finjan试图找到该程序的来源ISP并关闭它。
本·伊塔哈克表示,一家在线广告公司的Web服务器也受到了该恶意程序的攻击,该服务器向其它网站投放1400万个广告条幅,这意味着用户只要访问了投放上述广告的任何一家网站,在系统未打补丁的情况下都可能感染该程序。本·伊塔哈克表示,因此其潜在传播规模无疑是非常巨大的。
但他并未透露这家公司的名称,表示Finjan上周就该问题与这家公司取得了联系,据不完全统计,去年12月份,至少了1万个Web服务器站点感染了该恶意程序。而最近的迹象显示,该恶意程序幕后团伙的力量还在进一步扩充。攻击者通常采用多种办法来隐藏自己的路径,尽可能感染更多PC。
攻击者采用的JavaScript脚本技术,因此针对每部PC恶意代码只访问一次,这样可以逃避安全机构的扫描追踪。此外,黑客还对搜索引擎数据挖掘和信用评级站点的IP地址进行记录,信用评级通常用于对访问一站点的风险进行评估。相关的网页请求却被用于提供合法内容的站点。
JavaScript脚本文件在进行传播后还会自动变化,使得安全软件追踪起来更加困难,一旦受到攻击,一家托管成百上千家网站的服务器就可能将恶意代码到处散布。该代码利用至少13个软件漏洞来向PC放置木马程序。
本·伊塔哈克表示,攻击者还定期改变目标漏洞,从而增加恶意代码传播的可能性。PC感染该恶意代码之后,程序会自动收集文件及口令等数据。Finjan把该恶意代码命名为“random js Trojan”。
Finjan指出,由于攻击代码频繁改变,因此反病毒软件通常难觅其踪。Finjan日前推出一款浏览器插件“SecureBrowser”,可以通过对网页内容的分析发现恶意代码的踪迹,并向用户发出警告,此外该公司还提供一款企业级扫描技术软件。(责编:菜籽儿)
