日前,Websense® ThreatSeeker®拦截到一波恶意电子邮件的攻击,它们被伪装成反病毒提示,警告用户他们的账号可能已经被锁定。信息中谎称受害者的邮箱地址之前一直向邮件服务器发送感染病毒的邮件,更诱骗受害者说,如果点击邮件中URL下载一个免费的远程杀毒工具,就有可能修复这种情况。当然,这所谓的“免费工具”实际上是一个恶意的可执行文件,它将链接到恶意网站,后者将继续在受害者的电脑上植入更多的恶意程序。
在此次攻击中,恶意电子邮件的标题被设计成杀毒厂商的官方邮件模样,如:[Symantec] - 您的电子邮件账户可能被锁定!,而发件地址也会相应地伪装成:scanner@symantec.com、scanonline@f-secure.com、symantec@verisign.com,或者scan@sophos.com、symantec@sophos.com、virscan@secureroot.com、noreply@verisign.com,等等。
▲图1:恶意邮件截图
而用户下载到的所谓清除工具,其实是来自hxxp://www.protectedssl.net/RemovalTool.exe的恶意文件。
此外,作为Websense 网络安全智能(CSI)服务的一部分,ThreatScope analysis也会将准确地将RemovalTool.exe识别为恶意软件,因为其存在如下行为:
截止到发稿时,Virustotal 统计报告显示,42家提供免费病毒扫描的反病毒商中,仅有3家将该文件识别为恶意软件:
▲图2:Virustotal 统计报告截图
【免责声明】本文仅代表作者个人观点,与IT09数码网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。您若对该稿件内容有任何疑问或质疑,请联系本网将迅速给您回应并做处理。