“美女直播秀”广告页暗藏木马 360安全卫士可全面拦截

近日，360云安全系统监测到一起大规模软件挂马攻击事件。攻击团伙通过页面广告，向国内多款视频播放器，部分输入法及新闻类客户端内插入攻击代码，通过在用户设备上植入后门，后续可能进行勒索、挖矿、软件推广等多种恶意操作。

鉴于当前攻击仍在蔓延，日均拦截攻击次数多达10万余次，360安全专家特别提醒用户尽快使用360安全卫士做好防护。

图1:360安全卫士官方微博截图

据360安全专家分析，此次攻击者在软件广告页中植入的木马是利用了系统漏洞。以某知名播放器的“博眼球”广告页为例，该广告页具备站长统计功能。但是，攻击者向该数据统计页面中插入了指向另一个“陷阱”站点的标签。用户一旦点击页面上的广告，链接最终会跳转到“陷阱”页面上，执行漏洞代码。

这些代码一旦被执行，会从该站点下载恶意程序到文件夹并命名为winrar.exe执行。WinRAR.exe本质上是个Downloader，它会继续下载各种不明文件到计算机上执行，相当于是为恶意程序“开了后门”，后续可能用于往受害者计算机中植入其他恶意软件。

360安全团队经过分析后发现，此次挂马事件与之前国内发生的多起广告页面挂马事件为同一团伙所为，该团伙在去年就曾通过软件广告页面进行挂马攻击，向受害者计算机中强制安装流氓推广软件。而今年初，该团伙还曾通过同样的挂马攻击往受害者计算机中植入挖矿木马牟利。

图2:360安全卫士可全面拦截此类挂马攻击

据悉，此类挂马攻击利用的漏洞编号为CVE-2016-0189，这是一个关于VBScript的漏洞，主要是由于在VBScript脚本引擎的代码vbscript.dll中存在数组访问越界的问题，从而导致IE在打开某些精心设计的网站的时候，会自动执行恶意脚本代码。由于该漏洞利用起来简便，稳定，且成功率很高，所以被黑客们广泛利用。

鉴于此，360安全专家特别提醒：只要及时修复系统漏洞，就可封堵此类木马的入侵之门。广大用户应养成及时安装系统补丁的好习惯，平时上网时使用360安全卫士实时监测防御木马攻击。目前，360安全卫士无需升级就可全面拦截此类挂马攻击。