【编者按:流氓软件的技术又出现了新的进步,大量域名被劫持,也让广大网友面临着更大的威胁!】
3月1日,360安全卫士率先截获了4199的新变种,该流氓软件劫持了大量网站的域名,当被感染用户访问被劫持的网站域名时,电脑将会强制定向到一个IP地址为61.141.31.11的网站,经查这个页面完全和hao123.com相同的网站隶属于4199.com,由于此流氓软件采用了底层驱动技术,还导致感染电脑频繁出现蓝屏,死机等现象。针对此流氓软件,360安全卫士迅速采取行动,率先发布了专杀工具。
据360安全专家介绍,4199变种恶意程序具备三大技术特征:域名劫持,类似于钓鱼技术;利用FSD HOOK技术保护自己,很难彻底清除;DLL启动项加载,十分隐秘,无法察觉。安全专家进一步表示,4199危害性最大,最为恶劣的是采用了类似于“网络钓鱼”技术。和以往不同的是,该变种没有使用传统的hosts 劫持技术,而是直接利用驱动程序对多个浏览器进程直接篡改,因此用户无法通过查看hosts表的方法发现网站被劫持,而传统的反钓鱼手及恶意软件查杀工具不能对这种劫持报警。软件作者如果愿意,可以非常轻松的改变包括网络银行网址在内的网站地址,继而进行金融诈骗,给用户造成直接经济损失。
据悉,这是流氓软件灰色产业链的新趋势,以往的流氓软件通常采用在用户电脑中弹出广告的方式获利,这条灰色产业链在以360安全卫士为首的反流氓软件的联手打击下接近土崩瓦解。流氓软件开始采取这种隐秘性更高,更加疯狂的手段获利。
针对此款4199新变种,360安全卫士工程师表示:“我们有足够的能力来对付这种流氓软件的反扑。4199新变种采用了底层驱动技术来保护自己不被清除,但360安全卫士的独创的“破冰(Kill Defence)”技术正是此类流氓软件技术的克星。
360安全卫士工程师的技术追踪表明,该流氓软件的受益者是IP:61.141.31.11,而此IP正是此前不久大面积爆发的4199.com的IP地址。目前,此流氓软件会自动将包括其他几个恶意软件网站在内,多达55个网站重新定向。
针对4199变种,360安全中心应急发布了专杀工具,帮助网民对4199变种恶意软件进行查杀。在该专杀工具中使用了360安全卫士独有的“破冰技术”,其良好的对FSD HOOK等驱动级级恶意软件的操作能力和查杀效果将保证了该专杀工具的效果。(t003)
