来自 DDOS 2022-05-14 21:40 的文章

服务器防御_ddos盾眼_如何解决

服务器防御_ddos盾眼_如何解决

Bicololo病毒通过Web服务器错误传播

10月,我们在博客上写道,一种名为Bicololo的俄罗斯特洛伊木马正在传播。从那时起,恶意软件一直在不断发展和传播。现在是阿瓦斯特!每天从它的感染中拯救数千个PC。它的主要目标是注入受害者的etc/hosts文件,并将最常用的俄罗斯社交网站的流量重定向到其钓鱼服务器。最常见的目标是vk.com、odnoklassniki.ru和mail.ru。一旦被感染系统的受害者在浏览器中输入这些地址,ddos攻击防御什么意思,他/她就会收到一个虚假的登录表单。而且由于默认情况下没有任何目标服务通过HTTPS使用安全连接,因此用户没有简单的方法知道所造成的危险,并且他愿意将自己的密码提供给黑客。

目前恶意软件主要以两种形式传播,这两种形式自上一篇博客以来发生了巨大变化,并且正在迅速变异,每周发布两到四个新版本。

我们的最常用的方法是将"最常用的部分"添加到随机框中。一旦执行,它会将四个文件放入一些命名奇怪的程序文件子文件夹中,并运行它们。第一个删除的文件是模糊和随机的BAT,它执行实际的etc/hosts注入。另外两个文件是Visual Basic脚本。其中一个加载带有感染计数器URL的文本文件,并向该文件发送成功感染的消息。通过这种方式,作者可以跟踪他们的恶意软件活动。第二种方法将被感染的主机文件隐藏起来,并创建一个空文件etc/hOst,其中"O"是西里尔字母。这样,如果Windows设置为默认设置且不显示隐藏文件,则感染是不可见的。

第二种,ddos防御服务g一月6元,我们认为仍然是"实验性"的新版本,更先进一些。它以自解压RAR的形式出现,海外游戏ddos防御,并放入程序文件文件夹中。它通常包含两个可执行文件。其中之一往往是一些在互联网上免费提供的干净程序。例如,ddos防御在哪,上周我们看到了Filezilla FTP客户端、Minecraft游戏或Windows8激活器。另一个可执行文件是由Visual Basic编译的,它执行主任务-通过运行BAT感染主机文件,隐藏它并通知感染计数器。值得注意的是,便宜的ddos防御,这个版本的BAT更随机。此外,该版本会感染Windows注册表,并在系统启动时检查受感染的主机文件是否仍然存在。

旧版本通过从被黑客网站下载传播,其中很大一部分是WordPress或Joomla!有动力的。下载链接如下:

***estylehostel.ru/media/file/index.php?q=%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1+windows+8&zip=1***enn.ru/blogs/file/?q=%FE%E0%F0+%F1%EB%E0%E9%E4%FB+%F0%E5%F4%E5%F0%E0%F2%2D55479%2D55479&zip=1***nkddns.com/download.php?q=asku_na_telefon_ldzhi.zip

查询字符串可以包含容器文件的URL编码名称以及一些用于生成器的简单命令。通过这种方式,病毒的最终出现取决于URL查询,并且可以从一个生成器下载稍有不同的版本,这使得检测更加困难。

最新版本最有趣的是使用了非常有效的传播方式。它也利用被劫持的网站,但方式不同。如果使用一个URL来传播病毒,它很容易被阻止。当有很多这样的人时,问题就来了。恶意软件作者发现了这个弱点,并利用它作为自己的优势。他们修改了默认站点HTTP 404错误(未找到)处理程序来发送病毒。这给攻击者提供了下载病毒的几乎无限数量的可能URL!他们所要做的就是发布一些断开的链接。以下是此类受感染网站的示例。

***smeigh.com***sgrispallour.com

还有一个问题需要问。是什么让用户访问这些受感染的URL?我们所看到的是,病毒作者在许多不同的社交网站和论坛上将这些URL作为游戏、破解和密钥的下载链接。我们已经检测到病毒作为电子邮件附件发送或上传到文件共享服务。以下截图显示了添加到YouTube视频的病毒下载链接,该视频向俄罗斯社交网络展示了投票破解的安装指南。

这个俄罗斯恶意软件家族变异并迅速传播。没有迹象表明这种趋势应该停止。为了保护您的系统免受Bicololo线程的攻击,我们建议您使用最新版本的avast!启用autosandbox,因为它甚至成功检测到最新的双色Verison。