作者solomn (九米)
看板Browsers
標題[-GC-] 用Bing搜尋Chrome,竟被間諜軟體附身?!
時間Fri Jul 15 19:27:22 2011
http://domynews.blog.ithome.com.tw/post/1252/119725
用Bing搜尋Google Chrome,竟被間諜軟體附身?!
昨天,我們收到了幾個片段的消息,合在一起,有點混亂卻又可以看出潛在的資安
威脅。如果你使用微軟的Bing來搜尋現在的熱門瀏覽器 – Google Chrome。你會看到下
面這個畫面:
就跟你會期望看到的一樣。大多數人會直接點最上面的連結,也就是說,其實是點到最上
面的付費廣告。你會被重新導到一個下載頁面,讓你能夠馬上下載Chrome。下面就是這個
連結會帶你去的地方。
但是,如果你點了下載按鈕,也就是右上角的那個藍色大按鈕,你的Internet
Explorer瀏覽器會出現警告,告訴你,這個下載可能是有問題的。
如果你不去注意它,那麼最後你就會有個中毒的系統。趨勢科技威脅反應工程師
Kathleen Notario指出,一旦下載了這個檔案,它會存成chrome_11.0.696.68.exe(偵測
為TSPY_ONLINEG.MU)在系統中。這個間諜軟體接著會產生檔案cleanhtm.exe和
cleanhtm.dll到%Application Data%目錄裡。這些檔案具有rootkit的功能,可以隱藏自
己的進程(Processes)和檔案不被使用者發現。TSPY_ONLINEG.MU還會修改hosts檔案並
加入以下內容:
l {BLOCKED} {BLOCKED} .118.187 www.google.com
l {BLOCKED} {BLOCKED} .118.188 search.yahoo.com
l {BLOCKED} {BLOCKED} .118.188 www.bing.com
所以當使用者想要連到上述網站時,就會連到這些攻擊者所擁有的IP位址。
不過很有趣,廣告伺服器並不會跟瀏覽器一樣會偵測到有威脅出現。我這並不是在指責
誰。不過我想在不久的將來會看到許多類似的攻擊。網路威脅的世界已經太複雜了,以至
於牆上有洞是每隔一陣子就會發生的故事。
說來諷刺
到底是誰,會用最大的作業系統公司所開發的瀏覽器跟搜尋引擎去下載另一個從最大的
搜尋引擎公司所開發的瀏覽器。而這間公司正在開發作業系統和瀏覽器,用著跟大雷蒙德
(註:Redmond,微軟的企業總部所在地)的競爭者一樣的名字?
重點
我們生活在一個發展中的世界。趕快加上所有你可以找到的防護,特別是在你的瀏覽器上
。沒人可以永遠幫你看著的。(順帶一提,趨勢科技已經判定該網站是惡意的,並且也封
鎖了它,我們也在接觸微軟的安全反應小組去提報此事件。)
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.24.2.143
→ solomn:倒數第二段在講啥? 07/15 19:27
→ Wcw5504:有點像是翻譯機轉出來的文章 文法很詭異 07/15 19:35
→ goddora:原文應該是英文 07/15 20:00
推 rwhung:感覺是微軟出的包,然後如果有人因此受害,還會怪Google 07/17 07:15