今天小編分享的科技經驗:“銀狐”木馬病毒本月再次出現新變種并更新傳播手法,歡迎閱讀。
IT 之家 12 月 20 日消息,國家計算機病毒應急處理中心今日宣布,與計算機病毒防治技術國家工程實驗室依托國家計算機病毒協同分析平台在我國境内再次捕獲發現針對我國用戶的 " 銀狐 "(IT 之家注:又名 " 遊蛇 "、" 谷堕大盜 ")木馬病毒的最新變種。
相關病毒傳播案例
近日,國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室依托國家計算機病毒協同分析平台在我國境内再次捕獲發現針對我國用戶的 " 銀狐 " 木馬病毒的最新變種。在本次傳播過程中,攻擊者繼續通過構造财務、稅務違規稽查通知等主題的釣魚信息和收藏鏈接,通過微信群直接傳播包含該木馬病毒的加密壓縮包檔案。
名為 " 筆記 " 等字樣的收藏鏈接指向檔案名為 " 違規 - 記錄(1).rar" 等壓縮包檔案,用戶按照釣魚信息給出的解壓密碼解壓壓縮包檔案後,會看到以 " 開票 - 目錄 .exe"、" 違規 - 告示 .exe" 等命名的可執行程式檔案,這些可執行程式實際為 " 銀狐 " 遠控木馬家族于 12 月更新傳播的最新變種程式。如果用戶運行相關惡意程式檔案,将被攻擊者實施遠程控制、竊密等惡意操作,并可能被犯罪分子利用充當進一步實施電信網絡詐騙活動的 " 跳板 "。
病毒感染特征釣魚信息特征
本次發現攻擊者使用的釣魚信息仍然以偽造官方通知為主。結合年末特點,攻擊者刻意強調 "12 月 "、" 稽查 "、" 違規 " 等關鍵詞,借此使潛在受害者增加緊迫感從而放松警惕。在釣魚信息之後,攻擊者繼續發送附帶所謂的相關工作檔案的釣魚鏈接。
檔案特征
檔案名:對于本次發現的新一批變種,犯罪分子繼續将木馬病毒程式的檔案名設定為與财稅、金融管理等相關工作具有密切聯系的名稱,以引誘相關崗位工作人員點擊下載運行,如:" 開票 - 目錄 "、" 違規 - 記錄 "、" 違規 - 告示 " 等。此次發現的新變種仍然只針對安裝 Windows 作業系統的傳統 PC 環境,犯罪分子也會在釣魚信息中使用 " 請使用電腦版 " 等話術進行有針對性的誘導提示。
檔案格式:本次發現的新變種以 RAR、ZIP 等壓縮格式(内含 EXE 可執行程式)為主,與之前變種不同的是,此次攻擊者為壓縮包設定了解壓密碼,并在釣魚信息中進行提示告知,以逃避社交媒體軟體和部分安全軟體的檢測,使其具有更強的傳播能力。
檔案 HASH:34101194d27df8bc823e339d590e18f2
進程特征
木馬病毒被安裝運行後,會在作業系統中創建新進程,進程名與檔案名相同,并從回聯伺服器下載其他惡意代碼直接在内存中加載執行。
網絡通信特征
回聯地址為:156.***.***.90,端口号為:1217
命令控制伺服器(C2)網域名為:mm7ja.*****. cn,端口号為:6666
網絡安全管理員可根據上述特征配置防火牆策略,對異常通信行為進行攔截。其中與 C2 地址的通信過程中,攻擊者會收集受害主機的作業系統信息、網絡配置信息、USB 設備信息、螢幕截圖、鍵盤記錄、剪切板内容等敏感數據。
其他特征
本次發現的新變種還具有主動攻擊安全軟體的功能,試圖通過模拟用戶滑鼠鍵盤操作關閉防病毒軟體。
防範措施
不要輕信微信群、QQ 群或其他社交媒體軟體中傳播的所謂政府機關和公共管理機構發布的通知及相關工作檔案和官方程式(或相應下載鏈接),應通過官方渠道進行核實。
帶密碼的加密壓縮包并不代表内容安全,針對類似此次傳播的 " 銀狐 " 木馬病毒加密壓縮包檔案的新特點,用戶可将解壓後的可疑檔案先行上傳至國家計算機病毒協同分析平台進行安全性檢測,并保持防病毒軟體實時監控功能開啟,将電腦作業系統和防病毒軟體更新到最新版本。
一旦發現電腦作業系統的安全功能和防病毒軟體在非自主操作情況下被異常關閉,應立即主動切斷網絡連接,對重要數據進行遷移和備份,并對相關設備進行停用直至通過系統重裝或還原、完全的安全檢測和安全加固後方可繼續使用。
一旦發現微信、QQ 或其他社交媒體軟體發生被盜現象,應向親友和所在部門同事告知相關情況,并通過相對安全的設備和網絡環境修改登錄密碼,對自己常用的計算機和移動通信設備進行殺毒和安全檢查,如反復出現賬号被盜情況,應在備份重要數據的前提下,考慮重新安裝作業系統和防病毒軟體并更新到最新版本。
