点击欺诈

点击欺诈
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
后台开视频点广告：“点击欺诈木马”正在世界范围内泛滥 JackFree2015-01-25共112085人围观，发现 13 个不明物体资讯
niaoge.png

最近一种名为Tubrosa的“点击欺诈木马”正在世界范围内泛滥，这种恶意木马会利用受害者的电脑后台访问网络视频，并悄悄地点击视频中的内嵌广告以赚取广告收入。

关于点击欺诈木马

赛门铁克的博文中陈述道：

“几周前，我们注意到一个包含两个模块的点击欺诈木马（被检测为Trojan.Tubrosa），该木马利用YouTube广告赚取收入。攻击者通过使用该木马危害网民计算机，并用这些计算机人为地增加他们的YouTube视频访问量。这使得攻击者能够利用YouTube将他们的非法活动转变为合法收入。”
工作原理

该点击欺诈木马由两个模块组成，一个模块通过钓鱼邮件传播，第二个模块被前一个模块从远程服务器中下载并在受害电脑上运行。Tubrosa从C&C（命令与控制）服务器接收近千个YouTube链接列表，并在受害者电脑上以后台形式打开这些链接。

该木马会使用一些技巧来避免引发怀疑：比如当其在后台打开视频的时候，会关闭了扬声器的音量。贴心的是即使受害电脑原先未安装Flash播放器，该木马也能够帮你下载和安装播放器，确保观看视频能够顺利进行。

Click-fraud-malware-campaign-tubrosa.jpg

迄今为止，黑客已经通过这种恶意活动赚取了几千美元，并且很可能他们同时也在进行其他类似的恶意活动。

“YouTube合作伙伴计划使用一个验证过程来验证用户账号的正常性。为了绕过谷歌的安全检测，该木马利用两个PHP脚本来动态地改变引用（REFS.txt）和用户代理（UA.txt）。这就使得恶意软件能够伪装成与谷歌服务器的一个新的不同连接，看起来就像是另一个不同用户连接到同一个视频一样。”
感染用户分布

攻击者从2014年8月份开始传播该恶意软件，目前恶意活动仍在进行中。Tubrosa点击欺诈木马感染的系统主要分布在韩国、印度、墨西哥和美国。

Tubrosa-Click-fraud-malware.png

安全建议

电脑感染该木马的中招指标是电脑性能严重下降。为了防止电脑感染点击欺诈木马，安全专家给出了以下几点建议：

1、谨慎对待来路不明或可疑的电子邮件。
2、不要点击来路不明、可疑电子邮件中的链接。
3、不要打开来路不明、可疑电子邮件中的附件。
4、使用专业的安全软件。
[参考来源SecurityAffairs，有适当修改，译/实习编辑JackFree，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）]

JackFree
JackFree
174 篇文章
等级： 8级
||
上一篇：CVE-2015-0393：Oracle发布严重安全漏洞预警下一篇：漏洞盒子（VulBox）3.0上线啦！今日互联网漏洞奖金翻倍
发表评论已有 13 条评论

nilin 2015-01-25回复 1楼
放心，中国连VPN都屏蔽了，走的是闭关锁国的道路，还怕这个连关都过不了的渣渣，到了中国，战斗力绝不超过五

亮了(3)

GFW 2015-01-25回复 2楼
是我维护了世界和平

亮了(2)

LJokerP (4级) 来世愿做友人A 2015-01-25回复 3楼
没想到真有人写出来了这病毒。请叫我全自动vagex。应该边赚钱边放歌《可惜不是（赚给）你》。

亮了(1)

FB客服 2015-01-25回复 4楼
无法显示此网页

与 youtube.com 的连接已中断。

亮了(2)

huo (1级) 2015-01-26回复 5楼
打不开youtube

亮了(0)

广岛秋泽 (3级) Put the gun down 2015-01-26回复 6楼
鸟叔脸色好苍白，像丧尸！是中病毒了么？

亮了(1)

cnseay (1级) 2015-01-26回复 7楼
不惧，这些和天朝的装机广告相比实在是小巫见大巫；）

亮了(1)

Fiend520 (7级) 2015-01-26回复 8楼
擦，翻墙翻不了，vpn不能用。

亮了(0)

Jason__Qu 2015-01-26回复 9楼
没事，广告主肯定比用户紧张，会逼着就ssp修复

亮了(0)

Xgrick 2015-01-26回复 10楼
后台安装flash插件真是贴心~期待升级版自动x墙

亮了(0)

Helixcs 2015-01-26回复 11楼
对于一些xx网盘，xx社区上的视频已经见怪不了泪

亮了(0)

雅雅呀_ 2015-01-26回复 12楼
好像还不错这个

亮了(0)

魏杰 (3级) 2015-05-28回复 13楼
在中国发展还要自动安装vpn才行。

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
JackFree
JackFree

冒个泡，表示我还关注着FB······

174
文章数
147
评论数
最近文章
BypassUAC：Windows系统UAC绕过利器
2016.02.04

Dridex出现新型变种木马，专攻英国银行客户
2016.01.27

RWMC：利用PowerShell提取Windows账号密码的利器
2016.01.27

浏览更多
相关阅读
这款奇特的银行木马可以根据鼠标移动轨迹来区分用户和虚拟机白帽子发现YouTube任意视频删除漏洞，谷歌奖励5000美金过期签名“红颜”木马分析双枪2木马驱动分析报告利用第三方软件0day漏洞加载和执行的木马分析
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

文章评论