作者：趋势科技威胁分析师 Roddell Santos

想更新浏览器吗？首先要确认你是通过合法渠道下载，以免下载到伪装成浏览器更新程序的恶意软件。

趋势科技最近看到一篇报导指出，有很多网站提供浏览器更新程序，例如 Firefox、Chrome 和 Internet Explorer，并且还会提供多种不同版本。而用户点击了恶意广告后就可能访问到这些页面。

这种恶意威胁的幕后黑手会想尽办法让陷阱看起来像是真的。这些网页的内容如下图所示，看来就像是浏览器的官方网站。为了进一步引诱用户下载假的更新程序，网站甚至还提供了内建的防毒保护功能：

但是用户下载到的实际上并不是浏览器的更新程序，而是被检测为 JS_DLOADR.AET 的恶意软件，根据下载到的二进制文件内容的不同，该软件也有着不同的行为。

接着网页上的恶意 JavaScript 脚本还会下载 TROJ_STARTPA.AET，并用INSTALL.EXE 为名保存到成浏览器下载目录内。根据趋势科技的初步分析，该木马程序会修改用户的 IE 浏览器首页为http://{BLOCKED}rtpage.com，这是一个可能含有其他恶意软件的网站，借此即可进一步感染用户的计算机。

软件厂商会定期发布更新程序，以确保用户能获得最新功能和改进。不幸的是，网络犯罪分子会利用社交工程学陷阱手法引诱用户下载恶意软件。这些人会努力让他们的假网站看起来跟真的完全一样。去年十月，趋势科技就曾遇到有看似正常的网站提供假冒 Adobe 更新程序，该程序当时被检测为 TSPY_FAREIT.SMC。

想避免这种骗局，用户就需要只从合法来源或软件厂商的官网下载更新。而且很多浏览器也内建了更新功能。此外用户还应避免点击广告或访问未知的网站。

趋势科技的云计算安全技术可以保护用户免受此恶意威胁，可封锁这些恶意网站，并在用户计算机上检测并删除 JS_DLOADR.AET 和 TROJ_STRATPA.AET。

＠原文出处：Malicious Ads Push Fake Browser Updates

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！