5月23日,Canthink網絡安全攻防研究實驗室的研究人員將其在超過5000個受損網站上發現的惡意PHP腳本 認定為大規模垃圾郵件活動的來源。這個腳本旨在使被黑網站控制在一群網絡犯罪分子手中,並對各種垃圾郵件活動的動態進行重定向管理。
據悉,該腳本是名為“Brain Food”的惡意垃圾郵件殭屍網絡基礎架構的一部分,據Canthink研究人員稱,殭屍網絡運營商留下這個腳本,允許其按需執行,但它是大規模垃圾郵件操作中的主要角色。
Brain Food殭屍網絡管理員通過發送垃圾郵件進行操作,以便在各種被黑客入侵的網站上發現與PHP腳本的鏈接。如果用戶點擊頁面左邊的短片,他們就會到達PHP腳本,該腳本會將用戶重定向到另一個網站,而這個網站中充斥著減肥塑形和促進智力的假冒藥片。PHP腳本能夠根據他們最近的垃圾郵件活動從Brain Food運營商那接收新的“重定向目標”,並統計每個廣告的點擊量信息。
通過對包含這款PHP腳本副本的5000個網站的研究發現,僅過去一週內就有近半數(超2400個)的網站正在活躍運行,這些殭屍網絡似乎不易受某些CMS平臺的影響。 研究人員表示,Brain Food是一個在多種平臺上運行的殭屍網絡惡意郵件,如WordPress、Joomla等。
該腳本的代碼也因此具有多態性,並且被多層base64編碼混淆。此外,它還包括針對自動Google索引的保護,通過404代碼“找不到頁面”錯誤來響應Google的搜索爬蟲。
不過,殭屍網絡只推送垃圾內容,雖然對用戶沒有很大的危害,但對被感染的網站卻很危險,因為它的後門式功能允許殭屍網絡運營商執行任何代碼。
分享到:
閱讀更多 網絡安全焦點 的文章
