IT 之家 12 月 20 日消息,國家計算機病毒應急處理中心今日宣布,與計算機病毒防治技術國家工程實驗室依托國家計算機病毒協同分析平台在我國境内再次捕獲發現針對我國用戶的 " 銀狐 "(IT 之家注:又名 " 遊蛇 "、" 谷堕大盜 ")木馬病毒的最新變種。
相關病毒傳播案例
近日,國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室依托國家計算機病毒協同分析平台在我國境内再次捕獲發現針對我國用戶的 " 銀狐 " 木馬病毒的最新變種。在本次傳播過程中,攻擊者繼續通過構造财務、稅務違規稽查通知等主題的釣魚信息和收藏鏈接,通過微信群直接傳播包含該木馬病毒的加密壓縮包文件。
名爲 " 筆記 " 等字樣的收藏鏈接指向文件名爲 " 違規 - 記錄(1).rar" 等壓縮包文件,用戶按照釣魚信息給出的解壓密碼解壓壓縮包文件後,會看到以 " 開票 - 目錄 .exe"、" 違規 - 告示 .exe" 等命名的可執行程序文件,這些可執行程序實際爲 " 銀狐 " 遠控木馬家族于 12 月更新傳播的最新變種程序。如果用戶運行相關惡意程序文件,将被攻擊者實施遠程控制、竊密等惡意操作,并可能被犯罪分子利用充當進一步實施電信網絡詐騙活動的 " 跳闆 "。
病毒感染特征釣魚信息特征
本次發現攻擊者使用的釣魚信息仍然以僞造官方通知爲主。結合年末特點,攻擊者刻意強調 "12 月 "、" 稽查 "、" 違規 " 等關鍵詞,借此使潛在受害者增加緊迫感從而放松警惕。在釣魚信息之後,攻擊者繼續發送附帶所謂的相關工作文件的釣魚鏈接。
文件特征
文件名:對于本次發現的新一批變種,犯罪分子繼續将木馬病毒程序的文件名設置爲與财稅、金融管理等相關工作具有密切聯系的名稱,以引誘相關崗位工作人員點擊下載運行,如:" 開票 - 目錄 "、" 違規 - 記錄 "、" 違規 - 告示 " 等。此次發現的新變種仍然隻針對安裝 Windows 操作系統的傳統 PC 環境,犯罪分子也會在釣魚信息中使用 " 請使用電腦版 " 等話術進行有針對性的誘導提示。
文件格式:本次發現的新變種以 RAR、ZIP 等壓縮格式(内含 EXE 可執行程序)爲主,與之前變種不同的是,此次攻擊者爲壓縮包設置了解壓密碼,并在釣魚信息中進行提示告知,以逃避社交媒體軟件和部分安全軟件的檢測,使其具有更強的傳播能力。
文件 HASH:34101194d27df8bc823e339d590e18f2
進程特征
木馬病毒被安裝運行後,會在操作系統中創建新進程,進程名與文件名相同,并從回聯服務器下載其他惡意代碼直接在内存中加載執行。
網絡通信特征
回聯地址爲:156.***.***.90,端口号爲:1217
命令控制服務器(C2)域名爲:mm7ja.*****. cn,端口号爲:6666
網絡安全管理員可根據上述特征配置防火牆策略,對異常通信行爲進行攔截。其中與 C2 地址的通信過程中,攻擊者會收集受害主機的操作系統信息、網絡配置信息、USB 設備信息、屏幕截圖、鍵盤記錄、剪切闆内容等敏感數據。
其他特征
本次發現的新變種還具有主動攻擊安全軟件的功能,試圖通過模拟用戶鼠标鍵盤操作關閉防病毒軟件。
防範措施
不要輕信微信群、QQ 群或其他社交媒體軟件中傳播的所謂政府機關和公共管理機構發布的通知及相關工作文件和官方程序(或相應下載鏈接),應通過官方渠道進行核實。
帶密碼的加密壓縮包并不代表内容安全,針對類似此次傳播的 " 銀狐 " 木馬病毒加密壓縮包文件的新特點,用戶可将解壓後的可疑文件先行上傳至國家計算機病毒協同分析平台進行安全性檢測,并保持防病毒軟件實時監控功能開啓,将電腦操作系統和防病毒軟件更新到最新版本。
一旦發現電腦操作系統的安全功能和防病毒軟件在非自主操作情況下被異常關閉,應立即主動切斷網絡連接,對重要數據進行遷移和備份,并對相關設備進行停用直至通過系統重裝或還原、完全的安全檢測和安全加固後方可繼續使用。
一旦發現微信、QQ 或其他社交媒體軟件發生被盜現象,應向親友和所在單位同事告知相關情況,并通過相對安全的設備和網絡環境修改登錄密碼,對自己常用的計算機和移動通信設備進行殺毒和安全檢查,如反複出現賬号被盜情況,應在備份重要數據的前提下,考慮重新安裝操作系統和防病毒軟件并更新到最新版本。
