也許有些人還不知道，黑洞攻擊類病毒作為目前最流行的網(wǎng)絡(luò)攻擊工具，在黑市上甚為搶手，其制造者往往獲利頗豐。近日，密切關(guān)注各類網(wǎng)絡(luò)威脅的Websense得到消息， "黑洞攻擊包"(Blackhole Exploit Kit)即將出現(xiàn)新的版本。病毒制造者在俄國(guó)完成升級(jí)后決定將其販?zhǔn)?，并在一家地下交易論壇上發(fā)布了廣告。

新版的黑洞攻擊包將具備如下特性：

1.含動(dòng)態(tài)的URL生成器，使原本針對(duì)靜態(tài)URL進(jìn)行的病毒鑒定方式失去意義；

2可執(zhí)行的URL將阻斷IP信息，使得反病毒公司無(wú)法精準(zhǔn)定位，反病毒檢測(cè)的時(shí)效將大打折扣；

3.在劫持頁(yè)面中使用驗(yàn)證碼，防止病毒投放者以外的人訪問(wèn)，也就意味著，原本粉碎性暴力清除病毒的方式也將失效；

您點(diǎn)擊這里就可以看到制造者售賣病毒的英文版廣告，并查看完整的病毒特性說(shuō)明。

Websense的網(wǎng)絡(luò)安全專家從ThreatSeeker Network中提取了一些病毒樣本，檢測(cè)其是否含有新版"黑洞攻擊包"病毒。不出所料，從不久前的一系列惡意電子郵件攻擊事件中攔截下來(lái)的病毒樣本中，我們發(fā)現(xiàn)了"黑洞攻擊包"。它們?nèi)缤瑫r(shí)裝秀上不停換裝的模特，不斷變化出各種顯示亂碼php頁(yè)面（見(jiàn)圖1），上面赫然顯示著許多惡意鏈接。

圖1：顯示亂碼的php頁(yè)面

雖然如此，但我們網(wǎng)絡(luò)專家們并沒(méi)有從此次分析中收獲太多的驚喜，因?yàn)樯星覠o(wú)法確定檢測(cè)到的樣本就是新版的病毒--Blackhole Exploit Kit 2.0。如圖2所示，專家們將亂碼破譯，發(fā)現(xiàn)第五行代碼中包含PluginDetect語(yǔ)句，而根據(jù)新版病毒的售賣廣告所稱，病毒作者已不再使用該語(yǔ)句了。

圖2：破譯后的php頁(yè)面

Websense ThreatSeeker Network將繼續(xù)密切關(guān)注此類威脅，并通過(guò)高級(jí)分類引擎(ACE™)來(lái)保護(hù)客戶的安全。