搜索结果中“李鬼”导致的安全风险

作者：David Perry（趋势科技全球教育训练总监）

昨天我们收到了几个零散的消息，合在一起后虽然有点混乱，却又可以看出一个潜在的信息安全威胁。如果使用微软的Bing来搜索现在热门的浏览器Google Chrome，你会看到下面这个结果：

你肯定知道，大部分人会直接点最上面的链接，也就是说，其实是点到最上面的广告。你会被重新定向到一个下载页面，并开始下载Chrome。下面就是点击这个链接后看到的页面：

但是如果你点了下载按钮，也就是右上角的那个蓝色大按钮，你的Internet Explorer浏览器会出现警告，告诉你这个下载可能是有问题的。

如果打算忽略这个警告，那么最后你的系统八成会中毒。趋势科技威胁反应工程师指出，一旦下载这个文件，就会以chrome_11.0.696.68.exe为名（实际检测为TSPY_ONLINEG.MU）隐藏到系统中。这个间谍软件接着会在%Application Data%目录下创建名为cleanhtm.exe和cleanhtm.dll的两个文件。这些文件具有Rootkit的特征，可以隐藏自己的进程和文件本身，以躲过用户的检查。TSPY_ONLINEG.MU还会修改Hosts文件，并加入以下内容：

{BLOCKED} {BLOCKED} .118.187 www.google.com

{BLOCKED} {BLOCKED} .118.188 search.yahoo.com

{BLOCKED} {BLOCKED} .118.188 www.bing.com

所以当用户想要访问上述网站时，就会被转到这些攻击者所拥有的IP地址去。

不过很有趣，广告服务器并不会像浏览器一样检测到威胁的出现。我这并不是在指责谁。不过我想在不久的将来，可能会看到更多类似攻击。网络威胁的世界已经太复杂，以至于墙上有洞已经不足为奇。

说来讽刺

到底是谁，会用最大的操作系统公司所开发的浏览器与搜索引擎，去下载另一个最大的搜索引擎公司所开发的浏览器？

重点

我们生活在一个不停发展的世界中。赶快开启所有可以找到的防御机制，特别是在浏览器上。（顺带一提，趋势科技已经判定该网站是恶意的，并且也封锁了它，我们也在接触微软的安全反应小组并反馈此事件。）

◎免费下载防病毒软件：欢迎试用下载了解与试用NSSLABS最新防病毒软件测试第一名的防病毒软件PC-cillin 2011即刻免费下载

＠原文出处：Well, Bing my Google!

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！

爱趋势社区--下载/论坛/分享http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯http://t.sina.com.cn/trendcloud

趋势科技CEO：陈怡桦EvaChen的微博http://weibo.com/evatrendmicro