JS.SecurityToolFraud是赛门铁克安全响应中心最近检测到的一段恶意JavaScript代码,它藏身于
http://bor[REMOVED].com这一恶意网站中。此恶意脚本会诱使用户下载并安装流氓安全软件SecurityToolFraud。
当用户访问含有这段恶意脚本的网站时,JS.SecurityToolFraud会将用户浏览器窗口最小化,并弹出以下警告窗:
由于浏览器窗口已经被缩小并被放置到警告窗体之后,用户会误以为该警告框是系统弹出的安全警告。JS.SecurityToolFraud就是以此来诱骗用户点击该警告窗。
如果用户点击(无论选择点击OK还是Cancel),JS.SecurityToolFraud接下来就会显示虚假的动态扫描页面:
该扫描界面非常逼真,可能会使很多用户信以为真。当虚假的扫描操作完成时,脚本将会向用户报告发现病毒并弹出下一个对话框继续诱骗用户点击:
如果此时用户点击该对话框(无论选择OK还是Cancel),那么流氓安全软件SecurityToolFraud就会被下载到用户的计算机上。而且攻击者在不断更新JS.SecurityToolFraud的代码,以达到躲避安全软件检测的目的。