小心下载安吉丽娜．茱莉新片《特务间谍》

安吉丽娜．茱莉的新片《特务间谍》即将上演，网络上却已经开始出现"特务间谍电影"下载了，不过要小心，那可不是一个简单的盗版电影，而很可能是病毒木马伪装的。

安吉丽娜．茱莉新片《特务间谍》

从网络截获的两个.MOV文件（001 Dvdrip Salt.mov和salt dvdrpi [btjunkie][xtrancex].mov），都利用了安吉丽娜．茱莉的新片：特务间谍。文件看来格外引人怀疑，因为与一般的电影文件相比，这些文件相对小了许多。

当电影文件载入QuickTime后并不会有任何画面，而是引导使用者去下载伪装成更新的译码器，或安装另一种播放器等恶意软件。根据Apple苹果计算机表示，这两个.MOV文件并不是利用弱点漏洞，而是利用社交工程手法诱骗使用者下载伪装成电影译码器的恶意软件。这与Secunia报导的弱点漏洞无关。

该木马会在浏览器安装Browser Helper Object (BHO) 工具列，用来监控受害者的网络使用习惯，并会联机到其它网站下载更多的恶意程序。

经检查为TROJ_QUICKTM.A的这两个.MOV文件，会引导使用者进入到恶意网站去下载TROJ_DLOAD.QWK。播放这两个.MOV文件会出现假的译码器错误信息，促使使用者下载假的更新版QuickTime。

第一个.MOV文件与hxxp://{已拦阻}.{已拦阻}.53.196/stat1/pix1.php联结，会将使用者重导向hxxp://{已拦阻}.{已拦阻}.8.120/cms/976/1/QuickTime_Update_KB640110.exe.。接着会要求使用者储存/执行该文件程序。趋势科技已检测出程序为TROJ_TRACUR.SMDI。

图1 第一个.MOV文件屏幕画面/font>

另一方面，第二个.MOV文件则与hxxp://play.{已拦阻}nstaller.com/0.c联结，将使用者导向hxxp://player.{已拦阻}nstaller.com/d77.php。接着会下载一款为TROJ_DLOAD.QWK的文件。同样地，此文件也会要求使用者储存/执行该文件程序。

图2 第二个.MOV文件的屏幕画面

喜欢下载最新影片的朋友一定要小心，文件大小异常的电影文件，以及出现异常提示的文件，都可能是病毒木马化身，要小心防范。