AegisLab 發現一個URL:hxxp://gokush.com/tmp/pers/plenty-of-fish-dating-d5

帶著Google search的referer,會導到一個假的browser update的website.

Google search:Plenty of fish dating

 

hxxp://gokush.com/tmp/pers/plenty-of-fish-dating-d5(帶Google搜尋 referer)
    →hxxp://goo.gl/gpWMY
        →hxxp://mytds.s33.webhost1.ru/go.php?sid=1
            →hxxp://ultra.design46.ru/update/index.php

接下來會判斷你的瀏覽器類型,導到該瀏覽器的頁面,URL如下

IE:hxxp://ultra.design46.ru/update/ie/index.htm
Firefox:hxxp://ultra.design46.ru/update/ff/index.htm
Chrome:hxxp://ultra.design46.ru/update/chrome/index.htm
Opera:hxxp://ultra.design46.ru/update/opera/index.htm
Safari:hxxp://ultra.design46.ru/update/safari/index.htm

附上IE的圖(其他browser如附件),頁面是俄文的,經Google翻譯後

可以看出是要誘騙你去更新browser

 

 

點選下載後會有不同的link

Firefox、Opera和Safari:hxxp://ultra.design46.ru/update/update.exe
IE和Chrome:hxxp://ultra.design46.ru/update/update.rar

而update.rar其實解開就是update.exe

 

VT(8/46):update.exe

WebGuard已將ultra.design46.ru加入rule中阻擋! 

 

其它版本的誘騙畫面...

 

 

 

 

 

 

 

 

by AegisLab