SecurityToolFraud的源头位于http://bor[REMOVED].com 。访问该页面时,首先会遇到如下警告:
与普通的浏览器提示窗口不同的是,如果使用IE 6.0,或者IE 7.0、Firefox的单页面访问这个链接时,浏览器窗口会被缩小并被放置到警告窗体之后,使人猛地以为是系统弹出的警告。其实仔细看看这个消息框的标题,依然是浏览器的。别以为点击Cancel就安全了,其实点击OK和Cancel的结果都一样 – 浏览器会被最大化,然后动态显示下面的扫描页面。注意,此时的浏览器标题已经被篡改为“My Computer Online Scan”。 网站的恶意脚本会抓住一切机会诱使或迫使用户继续下一步 -- 扫描:
所谓的扫描结束后,又弹出了第二个警告:
整个过程十分逼真,稍不留意,还真以为是什么安全扫描。同第一个警告一样,点击OK和Cancel的结果是一样的,警告中所说的System Security浮出了页面:
页面中的Windows Security Alert实际上是一张名为alert.gif的图片文件,如果被点击,浏览器将从http://bor[REMOVED].com/downloader.php?affid=00000 下载SecurityToolFraud。即使不点击alert.gif,直接退出浏览器,也会弹出第三个警告:
如果点击OK,浏览器仍会下载SecurityToolFraud。
SecurityToolFraud源头分析
我们对SecurityToolFraud的源头网页进行了进一步分析,其主页面是一个index.html文件,只有3296字节,主要代码如下:
这个网页通过内嵌JavaScript,调用 jQuery 提供的动态网页功能实现前面看到的效果。其中的jQuery 库使用的是Google提供的jQuery最小化版本jquery.min.js;down_n_url是SecurityToolFraud的下载地址;char-{random}.js和var-{random}.js用来定义解密函数,加密数据存贮在decode-{random}.js中,大小在91KB左右;这三个JavaScript脚本联合起来进行解密,index.html中调用的docload函数就位于解密后代码中。解密后的的代码大小在22KB左右,下图是代码片段:
而网页作者为了逃避安全软件的检测,利用动态网页技术,使得每次下载的JavaScript脚本和SecurityToolFraud在二进制内容上都不一样。
