敲诈者病毒伪装网站字体更新程序攻陷WordPress网站

转载   科学中国  2017-02-27 08:53:31  2,529 人阅读  34 条评论

不断变换作案手法的敲诈者病毒木马令用户越来越难以察觉。近日,腾讯电脑管家安全感知系统发现,备受开发者青睐的网站搭建平台 WordPress 被大范围攻陷,致使用户在 Chrome 或 Chrome 内核浏览器中打开部分使用 WordPress 平台搭建的网站时出现乱码,并提示需要下载字体更新程序并执行后才能正常访问。一旦用户点击下载更新,植入其中的新型敲诈者病毒 Spora 便会自动运行,将所有用户文件加密。目前,腾讯电脑管家已经可以全面拦截该病毒木马。

敲诈者病毒伪装网站字体更新程序攻陷WordPress网站

腾讯电脑管家拦截Spora敲诈者

腾讯电脑管家安全专家在深入分析了被攻陷网站之后,还原了此次病毒作案的始末:此次攻击系臭名昭著的“EITest”恶意软件活动所为,已发现不法分子攻陷了 WordPress 框架的网站之后,在该网站正常的页面代码末尾添加 JavaScript 代码,致使该页面在用户访问时出现乱码,然后提示下载字体更新程序并执行后才能正常访问。下面可以看到这个代码在源代码中的样子。

敲诈者病毒伪装网站字体更新程序攻陷WordPress网站_最新资讯_第2张

网页原代码结尾处插入JS代码

当访问者访问此页面时,脚本将干扰页面的文本,使其出现乱码:

敲诈者病毒伪装网站字体更新程序攻陷WordPress网站_最新资讯_第3张

网页干扰代码

随后弹出一个警告窗口,指出该页面因为缺少“HoeflerText”字体无法正确显示,同时提示点击 Update 按钮从而下载该 Chrome 字体包。

敲诈者病毒伪装网站字体更新程序攻陷WordPress网站_最新资讯_第4张

网页字体更新弹窗代码

敲诈者病毒伪装网站字体更新程序攻陷WordPress网站_最新资讯_第5张

网页字体更新弹窗

当用户单击 Update 按钮时,弹出窗口会自动下载名为 Chrome Font v1.55.exe 的文件并将其保存到默认下载文件夹,然后跳转到一个说明页面,提示如何找到和运行下载的字体更新程序。

敲诈者病毒伪装网站字体更新程序攻陷WordPress网站_最新资讯_第6张

网页字体更新运行提示

Chrome Font v1.55.exe 实际上是 Spora 系列敲诈者病毒。用户一旦运行该病毒,电脑上所有工作和个人文件将会被加密而无法使用。当完成对文件的加密时,电脑将显示敲诈页面,告知中招者登录 Spora 支付网站以确定赎金金额或付款。

敲诈者病毒伪装网站字体更新程序攻陷WordPress网站_最新资讯_第7张

Spora敲诈者提示弹窗

目前已知存在 WordPress 漏洞并且遭到攻击的网站有:

敲诈者病毒伪装网站字体更新程序攻陷WordPress网站_最新资讯_第8张

腾讯安全联合实验室分析发现这批使用 WordPress 搭建的网站均存在一些关键漏洞未及时进行修补。广大网站管理人员应随时关注 WordPress 官网安全公告,并及时升级到最新版本以免发生更多攻击事件。

敲诈者病毒伪装网站字体更新程序攻陷WordPress网站_最新资讯_第9张

受到攻击网站存在的漏洞

腾讯安全反病毒实验室专家马劲松提醒用户,攻击者将病毒程序伪装成 Chrome 的 Google 字体更新程序,从而诱骗人们运行它。由于用户身处攻击者造成的网页乱码“环境”中,很容易误以为真的是字体出现问题,进而下载运行准备好的“修复程序”,一旦用户双击并执行该程序,就会中招。这种攻击方式技术难度不算太高,但是借由网站字体更新很容易令用户降低防备。同时提醒大家,上网时如若遇到类似的情况,建议暂时停止访问该网站,并开启腾讯电脑管家,实时拦截木马。

文章标签: ,   ,  
原文地址:http://science.china.com.cn/2017-02/21/content_9351098.htm
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为转载文章,来源于 科学中国 ,版权归原作者所有,欢迎分享本文,转载请保留出处!
WordPress/zblogPHP免费响应式博客主题Blogs

 发表评论


  1. Q先生
    Q先生 【小白】 @回复

    厌倦了传统的动态博客各种漏洞、补丁、优化、升级了,所以今年就把博客转成了纯静态的了。

  2. 玉满斋
    玉满斋 【尚书】 @回复

    WordPress 实在是太容易被攻击了!

  3. 靠谱学生兼职网
    靠谱学生兼职网 【状元】 @回复

    学习了。真遇上事的时候用得着。

  4. Koolight
    Koolight 【尚书】 @回复

    总有那么多人喜欢做坏事。

    • boke112导航
      boke112导航【村长】2017-02-28 08:49  回复

      @Koolight是的,其实大家都是站长,大家对垃圾评论应该都是深恶痛绝的,没想到还是有人这么干,无语

  5. 杭州SEO优化
    杭州SEO优化 【举人】 @回复

    任何时候都要小心

  6. BanYuner
    BanYuner 【进士】 @回复

    有点常识的可能就知道了 乱码是字库的问题 跟EXE程序能有啥关系

  7. YangOne
    YangOne 【进士】 @回复

    乱码不是先下载,而是先检查。不会莫名的缺少字体的。 而且EXE这种文件要谨慎下载。

    • boke112导航
      boke112导航【村长】2017-02-27 16:03  回复

      @YangOne大部分博主站长应该都会先行检查,或者不看这个网站,不过也会有新手中招,不经这个方式一不经意间就中招了

  8. 捕鱼游戏
    捕鱼游戏 【举人】 @回复

    肯定要防病毒

  9. 码农BTS
    码农BTS 【状元】 @回复

    最近邮件回复功能好像不能用了?也没在垃圾邮件里啊…所以最近都不知道有没有被回复了

    • boke112导航
      boke112导航【村长】2017-02-27 14:31  回复

      @码农BTS我很久没有关注评论回复的邮件提醒了,我用的是QQ邮箱,有时候回复多了会被禁止发信

    • boke112导航
      boke112导航【村长】2017-02-27 14:51  回复

      @码农BTS[给力] 谢谢告知,原来我那个QQ邮箱已经更改密码,而博客发信设置没有改密码,现在已经改正,非常感谢告知!

  10. 复然网赚博客
    复然网赚博客 【举人】 @回复

    还好我的不是wrodpress!!!

  11. 人生格言
    人生格言 【秀才】 @回复

    这是邪恶的聪明

  12. 小萝博客
    小萝博客 【进士】 @回复

    防不胜防啊

  13. 龙笑天
    龙笑天 【状元】 @回复

    真是林子大了 无奇不有啊~

  14. 明月登楼
    明月登楼 【丞相】 @回复

    还有这事儿?

  15. 小虾网赚
    小虾网赚 【小白】 @回复

    升级wordpress修补漏洞才是正事,利人利己!

  16. 钓鱼小站
    钓鱼小站 【进士】 @回复

    还真是,这思路不错哎!诱骗!

  17. 风中世界
    风中世界 【举人】 @回复

    看来想要做个安静的站长,也不是那么容易的事儿

  18. 码农BTS
    码农BTS 【状元】 @回复

    感觉WordPress洞还是太多

  19. 金榜台博客
    金榜台博客 【状元】 @回复

    不错,辛苦了

  20. 捌零男人
    捌零男人 【进士】 @回复

    第一次这么靠前,用的百度浏览器,不知道会不会弹出谷歌更新