竹席厂家
免费服务热线

Free service

hotline

010-00000000
竹席厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

流氓安全软件——SecurityToolFraud源头_诺顿杀毒软件_新闻资讯_中关村在线种植

发布时间:2020-04-19 15:01:23 阅读: 来源:竹席厂家

流氓安全软件——SecurityToolFraud源头_诺顿杀毒软件_新闻资讯_中关村在线

SecurityToolFraud的源头位于http://bor[REMOVED].com。访问该页面时,首先会遇到如下警告:

与普通的浏览器提示窗口不同的是,如果使用IE6.0,或者IE7.0、Firefox的单页面访问这个链接时,浏览器窗口会被缩小并被放置到警告窗体之后,使人猛地以为是系统弹出的警告。其实仔细看看这个消息框的标题,依然是浏览器的。别以为点击Cancel就安全了,其实点击OK和Cancel的结果都一样-浏览器会被最大化,然后动态显示下面的扫描页面。注意,此时的浏览器标题已经被篡改为"MyComputerOnlineScan"。网站的恶意脚本会抓住一切机会诱使或迫使用户继续下一步--扫描:

所谓的扫描结束后,又弹出了第二个警告:

整个过程十分逼真,稍不留意,还真以为是什么安全扫描。同第一个警告一样,点击OK和Cancel的结果是一样的,警告中所说的SystemSecurity浮出了页面:

页面中的WindowsSecurityAlert实际上是一张名为alert.gif的图片文件,如果被点击,浏览器将从http://bor[REMOVED].com/downloader.php?affid=00000下载SecurityToolFraud。即使不点击alert.gif,直接退出浏览器,也会弹出第三个警告:

如果点击OK,浏览器仍会下载SecurityToolFraud。

SecurityToolFraud 源头分析:

我们对SecurityToolFraud的源头网页进行了进一步分析,其主页面是一个index.html文件,只有3296字节,主要代码如下:

这个网页通过内嵌JavaScript,调用jQuery提供的动态网页功能实现前面看到的效果。其中的jQuery库使用的是Google提供的jQuery最小化版本jquery.min.js;down_n_url是SecurityToolFraud的下载地址;char-{random}.js和var-{random}.js用来定义解密函数,加密数据存贮在decode-{random}.js中,大小在91KB左右;这三个JavaScript脚本联合起来进行解密,index.html中调用的docload函数就位于解密后代码中。解密后的的代码大小在22KB左右,下图是代码片段:

而网页作者为了逃避安全软件的检测,利用动态网页技术,使得每次下载的JavaScript脚本和SecurityToolFraud在二进制内容上都不一样。

下载 诺顿网络安全特警2012 请点击:http://xiazai.zol.com.cn/detail/20/190183.shtml

药材的种植

波尔华斯羊养殖

蔬菜如何种植

相关阅读