流氓安全软件——SecurityToolFraud源头_诺顿杀毒软件_新闻资讯_中关村在线种植

流氓安全软件——SecurityToolFraud源头_诺顿杀毒软件_新闻资讯_中关村在线

SecurityToolFraud的源头位于http：//bor[REMOVED].com。访问该页面时，首先会遇到如下警告：

与普通的浏览器提示窗口不同的是，如果使用IE6.0，或者IE7.0、Firefox的单页面访问这个链接时，浏览器窗口会被缩小并被放置到警告窗体之后，使人猛地以为是系统弹出的警告。其实仔细看看这个消息框的标题，依然是浏览器的。别以为点击Cancel就安全了，其实点击OK和Cancel的结果都一样-浏览器会被最大化，然后动态显示下面的扫描页面。注意，此时的浏览器标题已经被篡改为"MyComputerOnlineScan"。网站的恶意脚本会抓住一切机会诱使或迫使用户继续下一步--扫描：

所谓的扫描结束后，又弹出了第二个警告：

整个过程十分逼真，稍不留意，还真以为是什么安全扫描。同第一个警告一样，点击OK和Cancel的结果是一样的，警告中所说的SystemSecurity浮出了页面：

页面中的WindowsSecurityAlert实际上是一张名为alert.gif的图片文件，如果被点击，浏览器将从http：//bor[REMOVED].com/downloader.php？affid=00000下载SecurityToolFraud。即使不点击alert.gif，直接退出浏览器，也会弹出第三个警告：

如果点击OK，浏览器仍会下载SecurityToolFraud。

SecurityToolFraud 源头分析：

我们对SecurityToolFraud的源头网页进行了进一步分析，其主页面是一个index.html文件，只有3296字节，主要代码如下：

这个网页通过内嵌JavaScript，调用jQuery提供的动态网页功能实现前面看到的效果。其中的jQuery库使用的是Google提供的jQuery最小化版本jquery.min.js；down_n_url是SecurityToolFraud的下载地址；char-{random}.js和var-{random}.js用来定义解密函数，加密数据存贮在decode-{random}.js中，大小在91KB左右；这三个JavaScript脚本联合起来进行解密，index.html中调用的docload函数就位于解密后代码中。解密后的的代码大小在22KB左右，下图是代码片段：

而网页作者为了逃避安全软件的检测，利用动态网页技术，使得每次下载的JavaScript脚本和SecurityToolFraud在二进制内容上都不一样。

下载 诺顿网络安全特警2012 请点击：http://xiazai.zol.com.cn/detail/20/190183.shtml

药材的种植

波尔华斯羊养殖

蔬菜如何种植