之前看到各種假冒網站都是引流到雲盤下載賺取費用,我都沒怎麼在意,
今天突然發現有個木馬直接僞裝成火絨官網,這操作把我都看呆了,現在做木馬都這麼囂張了嗎?
在Bing搜索火絨結果如下,真火絨下面那個就是假火絨
假火絨網站做的很真實,所有按鈕都是可正常點擊的。這是咋做到的呢?其實都不用看源碼,這顯然是直接download火絨官網的(比如IDM就能下載整個網站),然後稍微改一下就能部署成假冒網站
那爲什麼這個假冒網站會排名如何靠前呢?——因爲假火絨網站做了SEO優化(搜索引擎收錄排名優化),我都在想,如果不被發現,過段時間,假火絨估計會出現在真火絨前面
真火絨whois註冊信息是企業,假火絨註冊信息是個人
真假火絨網站註冊信息
從假火絨官網下載下來的是壓縮包,並且體積是102M。這就很有意思,殺毒軟件通常會跳過掃描大於100M的壓縮包,而且許多在線殺毒網站也要求上傳文件小於100M。兩頭堵,木馬作者顯然用心了。
我們解壓看看,好傢伙,圖標是應用寶,咋不僞裝爲火絨嗎?
拿到沙箱跑一下,如下圖,又是用遠程,又是提權、注入,還檢測沙箱,加入windows defender白名單
這妥妥的銀狐木馬(用於遠程竊取信息的木馬)沒跑
以上行爲基本可斷定爲遠木馬
木馬還做了加入windows defender白名單的操作
奇怪的是,銀狐木馬通常用於盜竊企業信息且長期潛伏,爲什麼這個木馬這麼明目張膽放出假官網呢?
我猜測其中一種途徑是,黑客已經獲得某些公司個別員工郵箱或其他聯繫方式,通過發郵件等方式,誘導員工(尤其是財務人員)去下載僞裝成火絨的木馬。
但是沒想到的是假網站排名太靠前,馬上就暴露了
最後提醒盒友們,下載火絨要認準官網
更多遊戲資訊請關註:電玩幫遊戲資訊專區
電玩幫圖文攻略 www.vgover.com
