路边的电影BT种子别乱载，新木马透过破解WordPress网站置入陷阱

2024-11-25 210

很多人喜欢透过 BT 下载电影，很多部落客也会在网站上放置自己制作的电影种子分享给大家，这里姑且不说这样是好是坏，但你知道吗？木马透过大家共享的行径四处散播病毒散播赛已经不是新鲜事，但这回竟然还突破 WordPress 来散布！

※图片出处

ESET 安全实验室发表了最新的文章中，表示发现了一个由两万多个机器组成的僵尸网络，它们主要针对使用 WordPress 架设的部落格网站发起攻击，攻击后再利用这些沦陷的部落格网站来继续挂上有毒种子，来引诱更多好奇的网友来下载，如此循环生生不息，不过 ESET 并没有写明到底是哪个电影被当作倒霉鬼。
※ 木马散播示意图

根据其他网友侧面了解，这个看起来很正常的种子（Torrent）里面放着一部名字看起来没啥异状的电影，一个“播放器解码器”以及一个类似“使用须知”的文件。文件中会告诉使用者在观看电影前须先安装同捆的解码器，是的！这个解码器就是个恶意木马程式，开启后会弹出一个文件错误的视窗，让你以为该文件无效，然后默默在后台运作一个叫“sathurbot DLL”的文件，开始连接远端服务器，等候攻击者下指令做出下一步动作。

▲安装有毒解码器时会跳出的文件错误视窗

当电脑感染之后，sathurbot 会自动更新和下载木马全餐。让受害者的电脑变成攻击者的僵尸大军成员之一，然后在攻击者的指挥下利用网络爬虫方式自动搜寻基于 WordPress 为架构的部落格、网站，利用不同账号密码来登入后来将这些网站收归己用继续挂上有害种子。

▲被感染的 WordPress 案例

ESET 表示，这些被攻击成功的网站有些甚至是挂上 https 的网址，所以网络使用者们在搜寻与下载时请思考再三审慎行事，目前可以移除的方式如下：
Web Admins –
更改密码，删除不属于主站的子页面，可选择从备份中删除并还原网站。
用户 –
使用第三方文件管理器找到可疑的.DLL（请注意，文件和目录具有隐藏属性设置），打开 Process Explorer 或任务管理器，删除 explorer.exe 和/或 rundll32.exe，删除（隔离）受影响的.DLL，重启电脑。
※这将可删除 Satherbot，而不是移除任何其他可能已经下载的恶意软件，建议删除后进行全机扫描。

【前往ESET 部落格查看更多详细全文，点这里】

2018-01-11 04:44:00