2012年4月，卡巴斯基實驗室安全專家發(fā)表了一篇題為《Flashfake惡意軟件的解剖：第一部分》的文章，詳細分析了這款針對Mac OS X的惡意軟件的感染手段和傳播機制。通過分析，還原了Flashfake（又名Flashback）在今年4月底造成全球748,000臺Mac OS X計算機受感染的過程。據(jù)了解，這款惡意軟件能夠劫持受感染計算機上的搜索結果，用來實施點擊詐騙。

近日，卡巴斯基實驗室的安全專家發(fā)布了《Flashfake惡意軟件的解剖：第二部分》，詳細分析了該惡意軟件的附加功能，并對Flashfake背后的網(wǎng)絡罪犯所采用的技術手段進行了深度分析，揭示出其通過點擊詐騙獲取錢財?shù)氖聦崱?/p>

Flashfake惡意程序由多個組件構成，能夠將惡意代碼注入到受感染計算機的瀏覽器中。一旦惡意代碼被注入，會讓受感染計算機自動連接活動的Flashfake命令控制服務器（C&C）。當受害用戶使用Google搜索引擎瀏覽網(wǎng)頁時，頁面中的合法廣告和鏈接會被Flashfake命令控制中心的詐騙廣告和鏈接所取代。網(wǎng)絡罪犯會欺騙受害用戶點擊其中的詐騙廣告和鏈接賺取錢財。

2012年3月，F(xiàn)lashfake幕后的開發(fā)人員創(chuàng)建了一個包含更多功能的新版動態(tài)庫文件。值得注意的是，其中還包括一種新的利用Twitter搜索Flashfake命令控制服務器的手段以及一種假冒的Firefox瀏覽器插件。這款惡意插件會偽裝成Adobe Flash Player插件，但功能確是同命令控制服務器進行通訊，實施點擊詐騙。

卡巴斯基實驗室全球分析和研究團隊總監(jiān)Costin Raiu解釋：“Flashfake是目前Mac OS X平臺下傳播最為廣泛的惡意程序。這次大規(guī)模感染事件表明，Mac OS X平臺已經(jīng)明確地成為網(wǎng)絡罪犯的攻擊目標。網(wǎng)絡罪犯不僅提升了攻擊手段，充分利用零日漏洞進行攻擊，還開發(fā)出具有抵抗性的惡意程序。Flashfake會檢查計算機上的反病毒解決方案，還集成了自我保護手段，采用加密連接同命令控制服務器進行通訊。此外，該惡意軟件采用了Twitter和Firefox插件等附加功能，同樣顯示出網(wǎng)絡罪犯為了提高這款惡意軟件的傳播范圍和效率，不惜花費大量時間和精力對其進行改進。”

雖然到4月底，F(xiàn)lashfake惡意軟件已經(jīng)感染了超過748,000臺Mac OS X計算機，但其組成的僵尸網(wǎng)絡規(guī)模已經(jīng)顯著變小。到5月，活動的僵尸計算機數(shù)量約為112,528臺。

原文鏈接：http://tech.ccidnet.com/art/1101/20120607/3936955_1.html