新闻链接：http://www.2cto.com/News/201501/373662.html
新闻时间：2015年01月29日
新闻正文：
【红黑联盟】
近日，一个被称为Tubrosa的“点击欺诈木马”正在世界范围内泛滥，这种恶意木马会利用受害者的电脑后台访问网络视频，并悄悄地点击视频中的内嵌广告以赚取广告收入。

迄今为止，黑客已经通过这种恶意活动赚取了几千美元，并且很可能他们同时也在进行其他类似的恶意活动。YouTube合作伙伴计划使用一个验证过程来验证用户账号的正常性。为了绕过谷歌的安全检测，该木马利用两个PHP脚本来动态地改变引用(REFS.txt)和用户代理(UA.txt)。这就使得恶意软件能够伪装成与谷歌服务器的一个新的不同连接，看起来就像是另一个不同用户连接到同一个视频一样。

几周前，安全人员注意到一个包含两个模块的点击欺诈木马(被检测为Trojan.Tubrosa)，该木马利用YouTube广告赚取收入。攻击者通过使用该木马危害网民计算机，并用这些计算机人为地增加他们的YouTube视频访问量。这使得攻击者能够利用YouTube将他们的非法活动转变为合法收入。”

该点击欺诈木马由两个模块组成，一个模块通过钓鱼邮件传播，第二个模块被前一个模块从远程服务器中下载并在受害电脑上运行。Tubrosa从C&C(命令与控制)服务器接收近千个YouTube链接列表，并在受害者电脑上以后台形式打开这些链接。

该木马会使用一些技巧来避免引发怀疑：比如当其在后台打开视频的时候，会关闭了扬声器的音量。即使受害电脑原先未安装Flash播放器，该木马也能够下载和安装播放器，确保观看视频能够顺利进行。

攻击者从2014年8月份开始传播该恶意软件，目前恶意活动仍在进行中。Tubrosa点击欺诈木马感染的系统主要分布在韩国、印度、墨西哥和美国。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)