上周CCTV焦点访谈播出常州警方破获的***大案,传播***的人就是在H网站上挂专用播放器, 这个所谓的专用播放器,装上之后发现是qvod。
在几周前,我们注意到一个叫飓风的病毒,同样,是网民上H网站后安装专用播放器后的产物。金山安全实验室的工程师连续几天观察到的新病毒都与这个 qvod的播放器有关,而且,无一例外,这些病毒都是放在H网站上谎称专用播放器的东西。奇怪了,H网站不是一直在被国家机关打击的高压态势之下吗? 为何总有一个qvod的软件跟在H网站的屁股后头?为何H网站上没放别的什么播放器,而是如此偏爱由qvod改造的专用播放器呢?
孔子曰, “饮食男女,人之大欲存焉。”意思是说,凡是人的生命,不离两件大事:饮食、男女。后人又说,食饱思×××,意思是吃饱了闲得没事儿,就会想起男女之 事。
现在看来,H类网站,如果不是国家法律禁止的话,相信其流量会超过百度、Google、新浪、网易这些门户,更是普通的在线游戏比不上的。某些H网站完全不打广告,其访客几乎全靠真正的口碑传播。搜索引擎还在不断删除其索引,这些站点为逃避打击,会不停的换IP地址和域名。尽管如此,其PV值还是让正常的商业网站望尘莫及。而寄生于H网站上的附属产品,就包括这些专用播放器和病毒***。
今天,毒霸的病毒分析员抓到的这个恶意病毒就是寄生于H网站的附属品,同样,这个病毒也是和qvod专用播放器捆绑传播的。
以下是详细的分析:
一 新病毒都来自H网站?
注意到没有近期截获的新型病毒(杀破网,鬼影病毒)无一例外都首先来自于H网站。财大气粗,流量稳定,饱含诱惑的H网站俨然成为了新型病毒发布平台。 上周截获了一个新的恶劣病毒“av终结者2010”同样来自于一个×××,当用户点击视频播放的时候网站会弹出一个页面提示你“安装Qvodplayer播放软件”,点击下载以后你会得到一个名为我和×××[敏感词]全过程 av.exe的文件,当用户点击这个极具诱惑的文件的时候,那么不幸的 是你的电脑至少感染20个热门游戏盗号***系统文件被篡改(比如ddraw.dll,dsound.dll,d3d8.dll,d3d9.dll等),更让你觉得悲剧的这个***下载会下载一个名为“av终结者2010”的恶性病毒感染之 后你会发现“主流杀毒软件不能安装运行,急救箱,各类此前的专杀都无法安装,一运行就被直接删 除”。
二 受害者中毒的过程
1 用户访问一个H网站,找到自己喜欢的视频比如以下的视频
在几周前,我们注意到一个叫飓风的病毒,同样,是网民上H网站后安装专用播放器后的产物。金山安全实验室的工程师连续几天观察到的新病毒都与这个 qvod的播放器有关,而且,无一例外,这些病毒都是放在H网站上谎称专用播放器的东西。奇怪了,H网站不是一直在被国家机关打击的高压态势之下吗? 为何总有一个qvod的软件跟在H网站的屁股后头?为何H网站上没放别的什么播放器,而是如此偏爱由qvod改造的专用播放器呢?
孔子曰, “饮食男女,人之大欲存焉。”意思是说,凡是人的生命,不离两件大事:饮食、男女。后人又说,食饱思×××,意思是吃饱了闲得没事儿,就会想起男女之 事。
现在看来,H类网站,如果不是国家法律禁止的话,相信其流量会超过百度、Google、新浪、网易这些门户,更是普通的在线游戏比不上的。某些H网站完全不打广告,其访客几乎全靠真正的口碑传播。搜索引擎还在不断删除其索引,这些站点为逃避打击,会不停的换IP地址和域名。尽管如此,其PV值还是让正常的商业网站望尘莫及。而寄生于H网站上的附属产品,就包括这些专用播放器和病毒***。
今天,毒霸的病毒分析员抓到的这个恶意病毒就是寄生于H网站的附属品,同样,这个病毒也是和qvod专用播放器捆绑传播的。
以下是详细的分析:
一 新病毒都来自H网站?
注意到没有近期截获的新型病毒(杀破网,鬼影病毒)无一例外都首先来自于H网站。财大气粗,流量稳定,饱含诱惑的H网站俨然成为了新型病毒发布平台。 上周截获了一个新的恶劣病毒“av终结者2010”同样来自于一个×××,当用户点击视频播放的时候网站会弹出一个页面提示你“安装Qvodplayer播放软件”,点击下载以后你会得到一个名为我和×××[敏感词]全过程 av.exe的文件,当用户点击这个极具诱惑的文件的时候,那么不幸的 是你的电脑至少感染20个热门游戏盗号***系统文件被篡改(比如ddraw.dll,dsound.dll,d3d8.dll,d3d9.dll等),更让你觉得悲剧的这个***下载会下载一个名为“av终结者2010”的恶性病毒感染之 后你会发现“主流杀毒软件不能安装运行,急救箱,各类此前的专杀都无法安装,一运行就被直接删 除”。
二 受害者中毒的过程
1 用户访问一个H网站,找到自己喜欢的视频比如以下的视频
2 当你点击视频播放的时候,通常会没有悬念的提示你“您的电脑未安装Qvodplayer播放软件”,请点击下载安装后刷新本页面
3 当你运行这个名为我和×××【敏感词】全过程av.exe 的时候他就会去下载一堆的病毒到你的电脑
4 感染病毒之后你会发现
(1)主流杀软消失,杀毒软件,网盾、急救箱、各类专杀 无法安装,运行直接被删。”
(2)电脑中的关键文件ddraw.dll ,dsound.dll,d3d8.dll,d3d9.dll,winrnr.dll,olepr032.dll,WS2HELP.DLL
(3) 桌面出现淘宝网快捷方式,主页也被病毒锁定为“ http://www.9348.cn ”
(4)进程中出现类似377242_xeex.exe 的可疑进程
(5)电脑中出现大量的伪装的输入法程序
C:\WINDOWS\system\mfc5.ime
C:\WINDOWS\system\TIM7.ime
C:\WINDOWS\system\mfc9.ime
C:\WINDOWS\system\mfcA.ime
C:\WINDOWS\system\mfcB.ime
C:\WINDOWS\system\mfcC.ime
三 病毒的查杀防御
1 防御方案
下载金山毒霸2010开启文件监控和云防御功能
http://www.duba.net/kav/2011.shtml
2 查杀方案
使用金山毒霸 av终结者2010专杀工具,查杀并重启系统按照提示处理
http://cu003.www.duba.net/duba/tools/dubatools/usb/avkill.exe
(1)主流杀软消失,杀毒软件,网盾、急救箱、各类专杀 无法安装,运行直接被删。”
(2)电脑中的关键文件ddraw.dll ,dsound.dll,d3d8.dll,d3d9.dll,winrnr.dll,olepr032.dll,WS2HELP.DLL
(3) 桌面出现淘宝网快捷方式,主页也被病毒锁定为“ http://www.9348.cn ”
(4)进程中出现类似377242_xeex.exe 的可疑进程
(5)电脑中出现大量的伪装的输入法程序
C:\WINDOWS\system\mfc5.ime
C:\WINDOWS\system\TIM7.ime
C:\WINDOWS\system\mfc9.ime
C:\WINDOWS\system\mfcA.ime
C:\WINDOWS\system\mfcB.ime
C:\WINDOWS\system\mfcC.ime
三 病毒的查杀防御
1 防御方案
下载金山毒霸2010开启文件监控和云防御功能
http://www.duba.net/kav/2011.shtml
2 查杀方案
使用金山毒霸 av终结者2010专杀工具,查杀并重启系统按照提示处理
http://cu003.www.duba.net/duba/tools/dubatools/usb/avkill.exe
转载于:https://blog.51cto.com/litiejun/370012
17万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
