科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道终端安全与谷歌重定向病毒的战争

与谷歌重定向病毒的战争

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

顾问Bob Eisenhard讲述了他令人沮丧的经历,他试图追踪并且摆脱掉一个客户端搜索重定向病毒。最终,他放弃了。

来源:ZDNet安全频道 2013年2月5日

关键字: 搜索引擎重定向 反病毒软件 浏览器 谷歌

  • 评论
  • 分享微博
  • 分享邮件

你曾经浏览过内华达州雷诺市(Reno)的网站吗?好的,如果你没有浏览过,那么现在有一个非常了不起的小病毒软件可以立即将你的网络将你的搜索引擎指向内华达州雷诺市的网站。大约一个月前,我的一个账号中的内容在位于曼哈顿被重新定向搜索到某些奇怪的网址,这些被重新定向的搜索内容之一被称为SEARCH RENO。我现场测试了这个搜索,并且确实是指向了这些奇怪的网址。

所有具有传统防御协议的反病毒软件都可以清除这个病毒,例如,反病毒软MalwareBytes和恶意软件清除工具ComboFix。通常这个漏洞被称为TDSS,工作中我非常信任的一款病毒专杀软件TDSSKiller能够修复这个漏洞并且完全清除这个病毒。

被称为rootkit 杀手的反病毒软件Sopho确没有发现所感染的病毒。恶意软件清除工具ComboFix和安全监控软件Gmer也都是一无所获。我用尽了日常所有的解决方法,我感到非常的令人沮丧。

之后的搜索,该永久链接运行了一个可执行文件RANDOM.EXE指向一个服务搜索。它并没有运行在我的客户端。这个可执行文件RANDOM.EXE的链接还弹出了一个付费软件广告,同时该广告可和某人在线交流(可能位于印度某地)以宣传使用该付费软件可以清除该病毒。我立即忽略这个选项(我开始相信一些博客论坛上使用不同用户名而相同情况的用户所提出的问题和回答,这款设计巧妙的病毒对于缺乏经验的人来说会轻易的下载这些软件)。

那么,这个病毒从哪里来的呢?重新定向的URL地址会将用户的IP地址指向63.209.69.107。如果你搜索这个IP地址,你不会搜索到任何有用的信息。这个病毒已经存在很长一段时间了,但是对于找到一个可解决的方案仍然感到迷惑。让我看看那个IP地址。它被重新定向到了SCOUR.COM。这既是一个真的也是一个伪装的网址,并且病毒本身使用非常复杂的方法隐藏自己,以此摆脱以上我提到的传统删除病毒的方法。看上去有两种威胁——搜索引擎劫持和隐藏在重新定向页面链接的特洛伊木马病毒。前者仅仅使你的系统变得缓慢,使系统崩溃,在对于Windows系统本来说非常普遍。而特洛伊木马病毒则是为某人打开一扇门从而可以使某人可以远程控制你的计算机以及窃取资料。最坏的情况下,这种类型的恶意软件能够窃取你的财务资料并且将其从你的电脑中的删除。近来,在沙特阿拉伯有近3万台电脑系统遭到电脑病毒的袭击。必须尽快将特洛伊木马病毒清除,将这个恶魔驱赶出去。

我正对所要确定的事情加以证实,因为这是一个病毒和恶意软件的世界;例如,我不知道究竟所感染的病毒来自何处。我们相当地确信某些(不全都是)色情网站会感染你的系统,还有一些网址会链接到一些未知的网站。

如果没有记错,当谷歌搜索引擎开始运行时,一个快速重新定向代理也会运行,并且“Reno”这个网址会提前被搜索到。这个漏洞很难去捕捉到,也许只有2秒钟甚至更少。我相信这类似于myfreesearch 的搜索。MYFREE搜索的类别总是匿名的,例如,MY FREE WEBSEARCH,这是非常可怕的。但是,这种病毒来去更加快速。我强烈呼吁安全专家使用更好的扫描软件去捕捉这些瞬间的漏洞线索。

这是一种用于攻击Firefox浏览器的重定向病毒的变种。Mozilla浏览器由于支持在位于不同的服务器上(我不知道这些服务器在哪里)运行php脚本,这会将你指向“realgamerz.net”和类似可疑的网站。如上所述,传统的清除病毒的方法将失去作用,而Mozilla并没有给出一个明确的答复。无论你浏览哪个网址都会被指向Reno,例如,当你试图寻找天气频道时,使用者会被直接指向bargainmatch.com。

所有这一切使我怀疑这种病毒有多种变种,而且我几乎开始思考我所遇到的病毒超过了传统病毒和恶意软件。至少对于我来说,这种病毒被设计的非常巧妙。我们也许会看到一种全新类型的具有侵略性的工具将发挥着重要作用。安全顾问对于病毒专杀工具TDSSKiller没有找到任何漏洞感到震惊。运行恶意代码扫描软件HiJackthis时会产生一个日志,该日志被复制到一个有效的网站HIJACKTHIS.DE,该网站会深入分析并且指出潜在的问题。我的客户系统不断访问Reno,某些不合常规的操作就会被发现。

解决方法的过程是严峻而简单的。我放弃了试图删除这个病毒,而是使用Revo uninstaller卸载工具将Firefox浏览器完全删除,我确信遇到的是一种Firefox病毒的变种。使用Revo工具保存书签后,冷启动计算机(关闭电源再打开电源重新启动计算机),然后再次安装Firefox,我的客户确认问题已经解决。我如释重负(如果我再次运行这个病毒,我会听取某些人的建议尝试使用GOOREDFIX工具)。

当前,黑客对于大部分专业人士使用的删除病毒工具都非常了解,并且对于他们都围绕着这些病毒软件进行工作根本不感到意外。通常来说,在一个安全的环境中,我相信对这些黑客所作出的反应时间应该保持至少5分钟的优势。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章