当前位置:首页-正文

针对WinRAR漏洞黑客开始通过色情图片诱导用户加载

此前蓝点网提到迈克菲已经监测到数百种不同的攻击样本,这些攻击全部是针对WinRAR存在的组件库漏洞。

当然也没有意外目前这类攻击已开始出现飙升的情况,越来越多的黑客开始利用WinRAR漏洞展开攻击活动。

具体攻击手法上也出现八仙过海各显神通的局面,不同黑客利用不同的方式尽可能的诱导用户进行解压操作。

针对WinRAR漏洞黑客开始通过色情图片诱导用户加载

案例1:成人色情图片诱导你打开

360威胁情报中心最新捕获的样本是个让人羞羞的内容,里面各种成人色情图片想必非常吸引男同胞们查看。

WinRAR打开后默认只会显示文件名称而不会出现图片预览,当然出于好奇原因你可能会随手点开图片看看。

此外WinRAR也不能在没有解压的情况下批量查看图片,所以点开图片后用户想要更快捷的查看就得先解压。

如果进行解压则这个恶意的压缩包会释放木马程序到系统启动目录,系统重启后木马程序即可自动执行运行。

而即便用户开启UAC账户控制全程也不会有任何感知,黑客可谓是将技术和人性全部用上就为了提高成功率。

针对WinRAR漏洞黑客开始通过色情图片诱导用户加载

案例2:借招聘之名传播木马程序

能够吸引用户点击的除色情图片外还有招聘类的内容,例如在阿拉伯等地区有黑客借招聘之名诱导用户解压。

这个压缩文档内含.PDF文档但用户无法直接打开,所以用户可能会习惯性的尝试先完全解压再阅读PDF文档。

解压的同时恶意压缩包会释放.VBE脚本到系统启动目录,等系统重启后这个VBE脚本即可实现自动执行运行。

成功运行后会利用WindowsPoweshell连接远程服务器下载木马,进而负载更多恶意内容完成对用户的劫持。

最简单的方法就是升级压缩软件:

漏洞虽然存在但毕竟WinRAR和其他压缩软件已经修复,所以应对这类攻击其实最简单的方式就是升级版本。

只要成功升级则即便打开这些恶意压缩包也不会触发漏洞,不触发漏洞也就不会在启动目录里被安插木马等。

而后续针对此类攻击的漏洞自然还会逐渐增多,建议使用WinRAR的用户点击这里下载安装V5.7版修复漏洞

本文来源360TI,由山外的鸭子哥转载或编译发布,如需转载请联系原作者。