奇虎昨日宣布,360安全卫士率先截获了4199的新变种。该软件劫持了大量网站的域名,当被感染用户访问被劫持的网站域名时,电脑将会强制定向到一个IP地址为61.141.31.11的网站。经查,这个页面完全和hao123.com相同的网站隶属于4199.com。由于4199变种软件采用了底层驱动技术,还导致感染电脑频繁出现蓝屏,死机等现象。
据360安全专家介绍,4199变种恶意程序具备三大技术特征:域名劫持,类似于钓鱼技术;利用FSD HOOK技术保护自己,很难彻底清除;DLL启动项加载,十分隐秘,无法察觉。专家进一步表示,4199危害性最大,最为恶劣的是采用了类似于“网络钓鱼”技术。和以往不同的是,该变种没有使用传统的hosts 劫持技术,而是直接利用驱动程序对多个浏览器进程直接篡改,因此用户无法通过查看hosts表的方法发现网站被劫持,而传统的反钓鱼手及恶意软件查杀工具不能对这种劫持报警。软件作者如果愿意,可以非常轻松的改变包括网络银行网址在内的网站地址,继而进行金融诈骗,给用户造成直接经济损失。
技术追踪表明,该软件的受益者是IP:61.141.31.11,而此IP正是此前不久大面积爆发的4199.com的IP地址。目前,此软件会自动将包括其他几个恶意软件网站在内,多达55个网站重新定向。
收藏
推荐
评论(0条)
