來(lái)自Clone的攻擊惡意軟件高明技巧欺騙用戶

惡意軟件（aka“rogue反間諜軟件”）從沒(méi)停止去用高明的社會(huì)工程以及竅門(mén)來(lái)從用戶那里騙來(lái)他們的血汗錢(qián)。最近我們注意到此類軟件大幅地增加了。最近我們遇到一個(gè)叫做AVSystemCare實(shí)例就說(shuō)明了這種趨勢(shì)。
    該惡意程序的獨(dú)特之處有兩個(gè)方面：
    -在查詢和執(zhí)行的時(shí)候，它使用了很容易地生成無(wú)限大的Clone的高明技巧。
    -它支持很多種語(yǔ)言版本。
    AVSystemCare使用了一種很高明的技巧來(lái)讓它的Clone利用同樣的文件，但是還沒(méi)有不同名字。安裝這些clone中的任何一個(gè)你都得從clone網(wǎng)站上下載一個(gè)小文件。用戶執(zhí)行了該文件后，它就會(huì)下載主程序軟件。所有的程序文件，包括從clone網(wǎng)站下載的文件都是一致的（同一種語(yǔ)言的clone的文件）。
    因此，如果每個(gè)clone的這些文件都相同，那么安裝程序在安裝程序的時(shí)候怎么知道應(yīng)該用哪個(gè)名字呢？答案就在用戶cookie里。訪問(wèn)clone 網(wǎng)站下載程序后，你的電腦里就會(huì)儲(chǔ)存一些cookie。訪問(wèn)了一些clone站點(diǎn)后，我們可以發(fā)現(xiàn)每個(gè)域的這些cookie非常類似：
    執(zhí)行下載的文件，它會(huì)將用戶Cookie解析，以尋找?guī)в小甮li’‘gai’和‘gI’的cookies。擁有這些cookie的域也會(huì)有隨機(jī)命名的cookie，這些cookie的內(nèi)容域中包含了clone程序的名字：
    安裝程序在隨后的安裝中使用該名字。它將使用匹配的最新Cookie，如果你碰巧下載的是Clone A，而訪問(wèn)了Clone B的網(wǎng)站，那么你安裝應(yīng)用后它的名字就叫clone B。
    你可能正想知道如果在安裝之前刪掉了cookie會(huì)怎樣。如果安裝程序找不到它要找的cookie，那么它就會(huì)使用默認(rèn)名稱。英語(yǔ)clone版的默認(rèn)名字是AVSystemCare。我們的測(cè)試也顯示出AVSystemCare cookie引擎成功地解析了IE和FireFox的cookie，但是它無(wú)法解析Opera或者Safari的。
    如果你不喜歡AVSystemCare clone的名字，你可以很容易地在安裝之前修改cookie，從而自己選擇名字：
    AVSystemCare的作者也沒(méi)有只是局限于英語(yǔ)clones；到目前為止，我們發(fā)現(xiàn)了11種不同語(yǔ)言版本的clone-英語(yǔ)、葡萄牙語(yǔ)、德語(yǔ)、丹麥語(yǔ)、西班牙語(yǔ)、意大利語(yǔ)、法語(yǔ)、日語(yǔ)、荷蘭語(yǔ)、挪威語(yǔ)以及瑞典語(yǔ)。同時(shí)，存有不同語(yǔ)言版本AVSystemCare的clone的域有70多個(gè)；例如，avsystemcare，virenfrierpc，norwayvirus等等。
    跟往常一樣，給定語(yǔ)言的所有的Clone除了名字不同都使一樣的，就像列出的日語(yǔ)和挪威語(yǔ)clone一樣：
    如下視頻證明了AVSystemCare與它的一些Clone的類似之處。
    隨著AVSystemCare機(jī)制連續(xù)地生成clone，用戶需要格外當(dāng)心。賽門(mén)鐵克的關(guān)于惡意程序的新的子站提供了此類威脅的深度信息，包括他們?nèi)绾喂粢约叭绾伪Ｗo(hù)自己。