作者：Paul Pajares（ 趨勢科技 信息安全分析師）

每個人都在談?wù)摷磳⒌絹淼模珹pple最新的云計(jì)算服務(wù)iCloud。從史蒂夫·喬布斯六月初在年度全球開發(fā)者大會中正式宣布，到最近的Apple商標(biāo)官司，iCloud的確是一個當(dāng)今快速蔓延的話題。在研究過程中，我們發(fā)現(xiàn)幾個網(wǎng)絡(luò)犯罪份子試圖利用“iCloud”關(guān)鍵詞傳播 假防病毒軟件 的例子。

網(wǎng)絡(luò)犯罪分子通常利用黑帽搜索引擎優(yōu)化技術(shù)讓連向假防病毒軟件的惡意鏈接提高在搜索引擎中的排名結(jié)果。這些黑帽搜索引擎優(yōu)化技術(shù)利用Google將用戶重定向到惡意文件的下載地址。在今天的例子中，下載的文件名為SecurityScanner.exe，已經(jīng)被趨勢科技確定為 TROJ_FAKEAV.HKZ 。

使用關(guān)鍵詞“iCloud mymobi”能找到一個可能的惡意網(wǎng)址。MyMobi似乎是一個被入侵的新聞網(wǎng)站，該網(wǎng)站主要提供小工具方面的信息。 趨勢科技 之前因?yàn)闄z測到惡意活動而封鎖了這個網(wǎng)站，但因?yàn)楹髞砭W(wǎng)站上清除了惡意內(nèi)容，所以現(xiàn)在已經(jīng)被解封。在上圖中，mymobi.com這個域名下曾經(jīng)出現(xiàn)了擴(kuò)展名為.php3的惡意文件，并且加入了“iCloud”關(guān)鍵詞。在這次事件中，黑客將標(biāo)題加入關(guān)鍵詞，這主要是為了在Google搜索結(jié)果中獲得較高的網(wǎng)頁排名，以此充當(dāng)釣魚誘餌，專門提供給假冒殺毒軟件 – <wbr><em>Windows Antispyware for 2012</em>使用。</wbr>

這些URL沒有辦法通過直接在地址欄輸入地址的方式訪問，相反只能通過點(diǎn)擊Google的搜索結(jié)果訪問。我們認(rèn)為這是因?yàn)檫@網(wǎng)址需要通過Google的重定向才能連上。然后它們會將用戶轉(zhuǎn)向到一個使用域名的假殺毒軟件網(wǎng)址。惡意軟件的下載腳本與其他典型的假殺毒軟件下載腳本非常類似。

運(yùn)行下載回來的SecurityScanner.exe文件，即 TROJ_FAKEAV.HKZ ，就可以安裝假殺毒軟件程序 – XP Antispyware 2012 ，這程序包含一個注冊按鈕。當(dāng)用戶按下這按鈕，頁面會被轉(zhuǎn)向到一個不同域名的釣魚網(wǎng)站，該網(wǎng)站上提供了“選擇計(jì)劃和結(jié)賬”選項(xiàng)，可供用戶購買 XP Antispyware 2012 。這個惡意軟件還會封鎖瀏覽器，主要是微軟IE與Google Chrome的上網(wǎng)功能，除非用戶購買他們的產(chǎn)品才能解封。

因?yàn)橹烙脩艨赡軙阉饔嘘P(guān)iCloud的信息，因此我們正在監(jiān)控任何可能利用關(guān)鍵詞“icloud”的假殺毒軟件網(wǎng)址與域名。我們找到了一些可能的搜索關(guān)鍵字，例如“what is apple cloud”或“what is icloud apple”，但搜索結(jié)果的排名都太靠后，影響不了多少用戶的正常使用。我們還在被入侵的網(wǎng)站找到了很多文件名包含“apple”和“icloud”字樣的頁面，這意味著可能有大規(guī)模的入侵攻擊打算利用這些關(guān)鍵詞。

<wbr></wbr>

＠原文出處： Searches for iCloud Unveil FAKEAV

本文版權(quán)為 趨勢科技 所有，對于非贏利網(wǎng)站或媒體轉(zhuǎn)載請注明作者以及原文鏈接。謝謝合作！

愛趨勢社區(qū)--下載/論壇/分享<wbr><wbr><a target="_blank">http://www.iqushi.com</a></wbr></wbr>

官方微博—拿禮品/分享最新IT資訊<wbr><wbr><a target="_blank">http://t.sina.com.cn/trendcloud</a></wbr></wbr>

趨勢科技CEO：陳怡樺EvaChen的微博<wbr><wbr><a target="_blank">http://weibo.com/evatrendmicro</a></wbr></wbr>

搜索iCloud,假殺毒軟件送上門