2012年4月，卡巴斯基實(shí)驗(yàn)室安全專(zhuān)家發(fā)表了一篇題為《Flashfake惡意軟件的解剖：第一部分》的文章，詳細(xì)分析了這款針對(duì)Mac OS X的惡意軟件的感染手段和傳播機(jī)制。通過(guò)分析，還原了Flashfake（又名Flashback）在今年4月底造成全球748,000臺(tái)Mac OS X計(jì)算機(jī)受感染的過(guò)程。據(jù)了解，這款?lèi)阂廛浖軌蚪俪质芨腥居?jì)算機(jī)上的搜索結(jié)果，用來(lái)實(shí)施點(diǎn)擊詐騙。

近日，卡巴斯基實(shí)驗(yàn)室的安全專(zhuān)家發(fā)布了《Flashfake惡意軟件的解剖：第二部分》，詳細(xì)分析了該惡意軟件的附加功能，并對(duì)Flashfake背后的網(wǎng)絡(luò)罪犯所采用的技術(shù)手段進(jìn)行了深度分析，揭示出其通過(guò)點(diǎn)擊詐騙獲取錢(qián)財(cái)?shù)氖聦?shí)。

Flashfake惡意程序由多個(gè)組件構(gòu)成，能夠?qū)阂獯a注入到受感染計(jì)算機(jī)的瀏覽器中。一旦惡意代碼被注入，會(huì)讓受感染計(jì)算機(jī)自動(dòng)連接活動(dòng)的Flashfake命令控制服務(wù)器（C&C）。當(dāng)受害用戶(hù)使用Google搜索引擎瀏覽網(wǎng)頁(yè)時(shí)，頁(yè)面中的合法廣告和鏈接會(huì)被Flashfake命令控制中心的詐騙廣告和鏈接所取代。網(wǎng)絡(luò)罪犯會(huì)欺騙受害用戶(hù)點(diǎn)擊其中的詐騙廣告和鏈接賺取錢(qián)財(cái)。

2012年3月，F(xiàn)lashfake幕后的開(kāi)發(fā)人員創(chuàng)建了一個(gè)包含更多功能的新版動(dòng)態(tài)庫(kù)文件。值得注意的是，其中還包括一種新的利用Twitter搜索Flashfake命令控制服務(wù)器的手段以及一種假冒的Firefox瀏覽器插件。這款?lèi)阂獠寮?huì)偽裝成Adobe Flash Player插件，但功能確是同命令控制服務(wù)器進(jìn)行通訊，實(shí)施點(diǎn)擊詐騙。

卡巴斯基實(shí)驗(yàn)室全球分析和研究團(tuán)隊(duì)總監(jiān)Costin Raiu解釋?zhuān)?ldquo;Flashfake是目前Mac OS X平臺(tái)下傳播最為廣泛的惡意程序。這次大規(guī)模感染事件表明，Mac OS X平臺(tái)已經(jīng)明確地成為網(wǎng)絡(luò)罪犯的攻擊目標(biāo)。網(wǎng)絡(luò)罪犯不僅提升了攻擊手段，充分利用零日漏洞進(jìn)行攻擊，還開(kāi)發(fā)出具有抵抗性的惡意程序。Flashfake會(huì)檢查計(jì)算機(jī)上的反病毒解決方案，還集成了自我保護(hù)手段，采用加密連接同命令控制服務(wù)器進(jìn)行通訊。此外，該惡意軟件采用了Twitter和Firefox插件等附加功能，同樣顯示出網(wǎng)絡(luò)罪犯為了提高這款?lèi)阂廛浖膫鞑シ秶托剩幌ЩㄙM(fèi)大量時(shí)間和精力對(duì)其進(jìn)行改進(jìn)。”

雖然到4月底，F(xiàn)lashfake惡意軟件已經(jīng)感染了超過(guò)748,000臺(tái)Mac OS X計(jì)算機(jī)，但其組成的僵尸網(wǎng)絡(luò)規(guī)模已經(jīng)顯著變小。到5月，活動(dòng)的僵尸計(jì)算機(jī)數(shù)量約為112,528臺(tái)。

原文鏈接：http://tech.ccidnet.com/art/1101/20120607/3936955_1.html