天创培训:您身边的信息安全培训专家!
行业动态
恶意广告软件PBot大升级 意图安装加密货币矿工

恶意广告软件PBot大升级 意图安装加密货币矿工

来自卡巴斯基实验室的安全研究员Anton V. Ivanov在本周二(6月26日)发表的博文中介绍说,他们在一年多以前发现了PBot(PythonBot)恶意广告软件的第一个版本。之所以将它这样命名,是因为它的核心模块是采用Python编写的。

从那以后,陆续出现的所有版本在程序上都进行了一定程度的修改,其中一个版本似乎已经超越了“广告软件”的范畴,因为它会在受感染计算机上安装一个加密货币矿工。

Ivanov指出,他们检测到的另外PBot版本仅限于在受害者访问的网页上播放并不期望看到的广告。另外,它们最初都试图向浏览器注入恶意的DLL。不同的是,第一个版本通过运行JS脚本在网页上显示广告,而第二个版本并没有这样做,它选择了在浏览器中安装广告扩展。

PBot的开发人员显然对后者更感兴趣,他们不断在它的基础上进行修改,以发布新的变种,并且对每个变种都进行了混淆处理。基于第二个版本的Pbot变种的另一个独特之处在于,它提供了一个模块,可用于更新脚本并下载新的浏览器扩展。

在今年4月,卡巴斯基实验室的研究人员注意到,在其产品用户的计算机上有超过5万个安装PBot的尝试。并且这个数字仍在增加,说明这个广告软件仍在被不断的分发。其中,受感染最严重的是俄罗斯、乌克兰和哈萨克斯坦。

作为恶意广告软件来说,PBot的目的是通过显示广告来将用户重定向到其赞助商的网站,进而为其开发人员带来收益。相对来说,这是一种比较老旧的赚钱方式,并且这需要从浏览器供应商不断改进的广告拦截技术中求取生存。

此外,PBot的开发人员似乎也对现有的收益并不是很满意。加密货币的热潮的确吸引了足够多的目光,不仅仅是投资者,还有网络犯罪分子。上述中提到的加密货币矿工被证实能够挖掘比特币和莱特币,毫无意外,PBot的开发人员看来也想在加密货币挖矿的行业中占据一席之地。

最后,值得提出的是,无论是哪个版本的PBot,它针对的是运行Windows计算机。鉴于Windows的普遍性,我们建议广大计算机用户应保持使用防病毒产品的好习惯,以避免遭受此类恶意软件的侵害。