新的木马程序显示流氓广告浏览会话期间使用以域名系统的电子邮件验证协议称为发送方政策框架(SPF)以接收来自攻击者的指令没有被发现,据赛门铁克安全研究人员。
新的恶意软件被称为特洛伊。Spachanel,其目的是将恶意JavaScript代码注入每一个Web页面打开在被感染的计算机,赛门铁克研究隆Katsuki星期五说博客。
【新闻:三个负责分发Gozi病毒]
恶意软件注入HTML脚本元素从远程加载JavaScript文件的url。JavaScript代码的作用是显示流氓广告在弹出窗口和欺骗用户点击它们,这对攻击者产生收入,Katsuki说。
然而,这个恶意软件的最有趣的方面是,它接收更新url从流氓攻击者使用HTML脚本元素。
定期的恶意软件生成一个域名根据预定义的算法,使一个SPF查找。提前知道域将生成,袭击者注册和配置它的SPF记录包含知识产权(IP)地址或所使用的主机名,将恶意软件构造新的恶意url。
防晒指数是为了检测电子邮件欺骗和实现使用DNS(域名系统)。
域名所有者可以指定一个SPF政策——一个IP地址或主机名,可以发送电子邮件从特定领域——在DNS TXT或者SPF记录。电子邮件服务器可以通过DNS为了执行SPF查找检查邮件似乎已经从该域实际上来自一个IP地址域管理员授权的。
如果发送方指定的IP地址或主机在一封电子邮件中列出的头不是SPF政策对应的域名邮件发送者的地址可能是欺骗。
在特洛伊的情况下。Spachanel,域名的SPF政策不是用于验证邮件,但提供一个新的列表,恶意主机名使用的恶意软件。
使用这种技术,攻击者可以隐藏恶意流量防火墙和其他安全产品,否则块直接连接到已知恶意指挥和控制服务器。
这是因为为了执行SPF查找,恶意软件查询一个可信的DNS服务器位于本地网络或互联网服务提供商的网络。这个服务器然后查询其他DNS服务器链直到请求到达的权威域名的DNS服务器,它响应TXT或者SPF记录含有防晒指数的政策。
“在某些情况下,特定的域被本地DNS服务器,但这很少过滤恶意软件生成一个域,“Katsuki说。