新闻链接：http://www.seehand.com/news/800.html
新闻时间：2015-07-06
新闻内容：有人打电话告诉恶意软件反垄断委员会（malware antitrust commission）：Kovter广告欺诈木马最新的版本在通过利用基于Web的漏洞感染计算机后，将Flash Player升级至最新版本从而在自己进入之后关闭后门。

这一最新并且有点惊人的行为最近由一名恶意研究员发现，其在网上的名称为Kafeine，他专门追踪使用漏洞利用工具的下载型攻击。

Kovter被利用于所谓的点击或广告欺诈。它一旦被安装在计算机上，就会攻击浏览器进程并利用浏览器模拟用户对在线广告进行点击，从而给它的创建者带来收益。

依据Kafeine的研究，该木马通过多种漏洞利用工具进行传播，包括以浏览器及其插件（Flash Player、Adobe Reader、Java和Silverlight）的漏洞为目标的基于Web的攻击工具。

这些工具一般利用已知的漏洞，因此它们的创建者主要以没有及时升级电脑软件的用户为目标。

下载型攻击尤其令人恶心，因为它们通常通过可信的合法网站发动，这些网站或已被攻陷，或由攻击者将恶意广告加载至广告网络。

这并不是第一次发生这样的事，即恶意软件在利用漏洞后又将该漏洞修复。然而，这种案例在今天看来十分罕见，因为目前网络犯罪地下经济绝大部分是基于服务（service-based）的。

诸如木马等恶意程序并没有自身的分发机制。它们的创建者不会寻找软件中的漏洞，不会自己编写漏洞利用代码，也不会到处去感染网站。相反，它们依赖于专营上述活动的网络罪犯，例如漏洞利用工具创作者。

大部分漏洞利用工具以基于订阅的模式出售。它们通过分发他人创作的恶意软件给创建者带来收入。

这就是为什么Kovter对Flash Player进行修复是罕见的。这就像你打了一辆的，到达目的地付钱之后又开枪打破了出租车的轮胎，从而其他人就用不了了。可以想象，出租车司机肯定会生气。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)