小心安吉丽娜．茱莉新片《特务间谍》

安吉丽娜．茱莉的新片《特务间谍》即将上演，网络上却已经开始出现“特务间谍电影”下载了，不过要小心，那可不是一个简单的盗版电影，而很可能是病毒木马伪装的。

安吉丽娜．茱莉新片《特务间谍》

从网络截获的两个.MOV文件（001 Dvdrip Salt.mov和salt dvdrpi [btjunkie][xtrancex].mov），都利用了安吉丽娜．茱莉的新片：特务间谍。文件看来格外引人怀疑，因为与一般的电影文件相比，这些 文件相对小了许多。

当电影文件载入QuickTime后并不会有任何画面，而是引导使用者去下载伪装成 更新的译码器，或安装另一种播放器等恶意软件。根据Apple苹果计算机表示，这两个.MOV文件并不是利用弱点漏洞，而是利用社交工程手法诱骗使用者下 载伪装成电影译码器的恶意软件。这与Secunia报导的弱点漏洞无关。

该木马会在浏览器安装Browser Helper Object (BHO) 工具列，用来监控受害者的网络使用习惯，并会联机到其它网站下载更多的恶意程序。

经检查为TROJ_QUICKTM.A的这两个.MOV文件，会引导使用者进入到恶意网站去下载TROJ_DLOAD.QWK。播放这两个.MOV文件会出现假的译码器错误信息，促使使用者下载假的更新版QuickTime。

第一个.MOV文件与hxxp://{已拦阻}.{已拦阻}.53.196 /stat1/pix1.php联结，会将使用者重导向hxxp://{已拦阻}.{已拦阻}.8.120/cms/976/1 /QuickTime_Update_KB640110.exe.。接着会要求使用者储存/执行该文件程序。趋势科技已检测出程序为 TROJ_TRACUR.SMDI。

图1 第一个.MOV文件屏幕画面/font>

另一方面，第二个.MOV文件则与 hxxp://play.{已拦阻}nstaller.com/0.c联结，将使用者导向hxxp://player.{已拦 阻}nstaller.com/d77.php。接着会下载一款为TROJ_DLOAD.QWK的文件。同样地，此文件也会要求使用者储存/执行该文件程 序。

图2 第二个.MOV文件的屏幕画面

喜欢下载最新影片的朋友一定要小心，文件大小异常的电影文件，以及出现异常提示的文件，都可能是病毒木马化身，要小心防范。

标签： 漏洞 网络

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。