网络下载安吉丽娜．茱莉的「特务间谍」新片,当心触发恶意软件下载

Sammi888

       趋势科技威胁研究工程师接获通报,分析两个.MOV档案（001 Dvdrip Salt.mov, salt dvdrpi [btjunkie][xtrancex].mov），两者皆利用了安吉丽娜．茱莉的新片：特务间谍。档案看来格外引人怀疑，因为与一般的电影档案相比，这些档案相对小了许多。

    当电影档案载入QuickTime后并不会有任何画面，而是引导使用者去下载伪装成更新的译码器，或安装另一种播放器等的恶意软件。根据Apple苹果计算机表示，此两个.MOV档案并不是利用弱点漏洞，而是利用社交工程手法诱骗使用者下载伪装成电影译码器的恶意软件。这与Secunia报导的弱点漏洞无关。」

    该木马会在浏览器安装Browser Helper Object (BHO) 工具列，藉以监控受害者的网络使用习惯,并会联机到其它网站下载更多的恶意程序。

       经侦测为TROJ_QUICKTM.A的这两个.MOV档案，会引导使用者进入到恶意网站去下载TROJ_DLOAD.QWK。播放这两个.MOV档案会出现假的译码器错误讯息，促使使用者下载假的更新版的QuickTime。

     第一个.MOV档案与hxxp://{已拦阻}.{已拦阻}.53.196/stat1/pix1.php联结，会将使用者重导向hxxp://{ 已拦阻}.{已拦阻}.8.120/cms/976/1/QuickTime_Update_KB640110.exe.。接着会要求使用者储存/执行该档案程序。趋势科技已侦测出程序为TROJ_TRACUR.SMDI。

  

  

图1、第一个.MOV档案之屏幕画面

     另一方面，第二个.MOV档案则与hxxp://play.{已拦阻}nstaller.com/0.c联结，将使用者导向hxxp://player.{已拦阻}nstaller.com/d77.php。接着会下载一款经趋势科技侦测为TROJ_DLOAD.QWK的档案。同样地，此档案也会要求使用者储存/执行该档案程序。

  

  

  图2、第二个.MOV档案的屏幕画面

       趋势科技的使用者受到主动式云端截毒服务 SPN( Smart Protection Network) 术的保护免受此攻击，恶意的URL皆会遭拦阻，以避免恶意档案程序受下加载系统中。

＠原文来源：QuickTime Player Allows Movie Files to Trigger Malware Download

  

紫雪纷纷

下载个影片都要时刻提防恶意软件和病毒  唉

猪头大队

威胁研究工程师接获通报,分析两个.MOV档案（001 Dvdrip Salt.mov, salt dvdrpi [xtrancex].mov），两 ...
Sammi888 发表于 2010.8.3 17:04

我怀疑乃不是来发布安全信息的，倒像是为茱莉的电影做宣传的开个玩笑，谢谢提醒

Sammi888

我都自我怀疑了

i65u

谢谢提醒

s0s020000

我都不认识唉……

鲁鲁修

毕业工作了，借用楼上签名了

che2020120

注意就好

病毒无处不在！

caven

感谢提醒