近日，安天 CERT（安全研究與應(yīng) 急處理中心）在梳理網(wǎng)絡(luò)安全事件時發(fā) 現(xiàn)一例基于 Python 的樣本，它通過一 個漏洞利用工具包（EK）傳播，偽裝成 MinerBlocker，但其是一種基于 Python 的 廣告軟件。

     漏洞利用工具包下載樣本的下載器， 該下載器的功能是下載包含所有惡意 Python 腳本的程序，名為 MinerBlocker。 下載完成后會進行安裝，安裝過程是靜默 操作，安裝目錄為 %appdata%。其中在目 錄 js 中，可以發(fā)現(xiàn)一個 JS 腳本，它通過 配置文件進行注入，可以攻擊 Firefox、Chrome、IE 等主流瀏覽器。樣本首先會 將腳本插入到每個被訪問的網(wǎng)站中，一旦 被注入，攻擊者就可以控制瀏覽器中顯示 的內(nèi)容，并可以注入廣告，也可以注入其 他的惡意代碼。同時，該惡意代碼也可以 使用偽造的證書替換合法證書。樣本的注 入功能由 Python 實現(xiàn)，注入的惡意 DLL 可以實現(xiàn)掛鉤到瀏覽器，可解析證書以及 負責發(fā)送和接收數(shù)據(jù)的函數(shù)，所有的請求 都會被重定向到惡意代碼，它可以作為代 理，在途中改變數(shù)據(jù)，代理完成后，它將 跳回原始函數(shù)，因此用戶不會意識到任何 功能的更改。

     安天 CERT 提醒廣大網(wǎng)絡(luò)使用者， 要提高網(wǎng)絡(luò)安全意識，在日常工作中要及 時進行系統(tǒng)更新和漏洞修復(fù)，不要隨意下 載非正版的應(yīng)用軟件、非官方游戲、注冊 機等。收發(fā)郵件時要確認收發(fā)來源是否可 靠，更加不要隨意點擊或者復(fù)制郵件中的 網(wǎng)址，不要輕易下載來源不明的附件，發(fā) 現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時采取應(yīng)對措 施，養(yǎng)成及時更新操作系統(tǒng)和軟件應(yīng)用的 好習慣。目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了 對該類惡意代碼的檢出。