当前位置:主页 > 病毒查杀 > 木马伪装Chrome字体更新程序攻陷WordPress网站

木马伪装Chrome字体更新程序攻陷WordPress网站

2017-02-23 22:27  浏览:   标签:

  • 正文
  • 点这评论:(0人参与)

不断变换作案手法的敲诈者病毒木马令用户越来越难以察觉。近日,腾讯电脑管家安全感知系统发现,备受开发者青睐的网站搭建平台WordPress被大范围攻陷,致使用户在Chrome或Chrome内核浏览器中打开部分使用WordPress平台搭建的网站时出现乱码,并提示需要下载字体更新程序并执行后才能正常访问。一旦用户点击下载更新,植入其中的新型敲诈者病毒Spora便会自动运行,将所有用户文件加密。目前,腾讯电脑管家已经可以全面拦截该病毒木马。
  (腾讯电脑管家拦截Spora敲诈者)     腾讯电脑管家安全专家在深入分析了被攻陷网站之后,还原了此次病毒作案的始末:此次攻击系臭名昭著的“EITest”恶意软件活动所为,已发现不法分子攻陷了Wordpress框架的网站之后,在该网站正常的页面代码末尾添加JavaScript代码,致使该页面在用户访问时出现乱码,然后提示下载字体更新程序并执行后才能正常访问。下面可以看到这个代码在源代码中的样子。
  (网页原代码结尾处插入JS代码)     当访问者访问此页面时,脚本将干扰页面的文本,使其出现乱码:
  (网页干扰代码)     随后弹出一个警告窗口,指出该页面因为缺少“HoeflerText”字体无法正确显示,同时提示点击Update按钮从而下载该Chrome字体包。
  (网页字体更新弹窗代码)

(网页字体更新弹窗)     当用户单击Update按钮时,弹出窗口会自动下载名为Chrome Font v1.55.exe的文件并将其保存到默认下载文件夹,然后跳转到一个说明页面,提示如何找到和运行下载的字体更新程序。
  (网页字体更新运行提示)     Chrome Font v1.55.exe实际上是Spora 系列敲诈者病毒。用户一旦运行该病毒,电脑上所有工作和个人文件将会被加密而无法使用。当完成对文件的加密时,电脑将显示敲诈页面,告知中招者登录Spora支付网站以确定赎金金额或付款。
  (Spora敲诈者提示弹窗)     目前已知存在Wordpress漏洞并且遭到攻击的网站有:
 
    腾讯安全联合实验室分析发现这批使用Wordpress搭建的网站均存在一些关键漏洞未及时进行修补。广大网站管理人员应随时关注Wordpress官网安全公告,并及时升级到最新版本以免发生更多攻击事件。
  (受到攻击网站存在的漏洞)     腾讯安全反病毒实验室专家马劲松提醒用户,攻击者将病毒程序伪装成Chrome的Google字体更新程序,从而诱骗人们运行它。由于用户身处攻击者造成的网页乱码“环境”中,很容易误以为真的是字体出现问题,进而下载运行准备好的“修复程序”,一旦用户双击并执行该程序,就会中招。这种攻击方式技术难度不算太高,但是借由网站字体更新很容易令用户降低防备。同时提醒大家,上网时如若遇到类似的情况,建议暂时停止访问该网站,并开启腾讯电脑管家,实时拦截木马。

【关键字】腾讯电脑管家  Chrome  字体更新  Spora敲诈者  网页乱码