今天小编分享的科技经验:“银狐”木马病毒本月再次出现新变种并更新传播手法,欢迎阅读。
IT 之家 12 月 20 日消息,国家计算机病毒应急处理中心今日宣布,与计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内再次捕获发现针对我国用户的 " 银狐 "(IT 之家注:又名 " 游蛇 "、" 谷堕大盗 ")木马病毒的最新变种。
相关病毒传播案例
近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内再次捕获发现针对我国用户的 " 银狐 " 木马病毒的最新变种。在本次传播过程中,攻击者继续通过构造财务、税务违规稽查通知等主题的钓鱼信息和收藏链接,通过微信群直接传播包含该木马病毒的加密压缩包檔案。
名为 " 笔记 " 等字样的收藏链接指向檔案名为 " 违规 - 记录(1).rar" 等压缩包檔案,用户按照钓鱼信息给出的解压密码解压压缩包檔案后,会看到以 " 开票 - 目录 .exe"、" 违规 - 告示 .exe" 等命名的可执行程式檔案,这些可执行程式实际为 " 银狐 " 远控木马家族于 12 月更新传播的最新变种程式。如果用户运行相关恶意程式檔案,将被攻击者实施远程控制、窃密等恶意操作,并可能被犯罪分子利用充当进一步实施电信网络诈骗活动的 " 跳板 "。
病毒感染特征钓鱼信息特征
本次发现攻击者使用的钓鱼信息仍然以伪造官方通知为主。结合年末特点,攻击者刻意强调 "12 月 "、" 稽查 "、" 违规 " 等关键词,借此使潜在受害者增加紧迫感从而放松警惕。在钓鱼信息之后,攻击者继续发送附带所谓的相关工作檔案的钓鱼链接。
檔案特征
檔案名:对于本次发现的新一批变种,犯罪分子继续将木马病毒程式的檔案名設定为与财税、金融管理等相关工作具有密切联系的名称,以引诱相关岗位工作人员点击下载运行,如:" 开票 - 目录 "、" 违规 - 记录 "、" 违规 - 告示 " 等。此次发现的新变种仍然只针对安装 Windows 作業系統的传统 PC 环境,犯罪分子也会在钓鱼信息中使用 " 请使用电腦版 " 等话术进行有针对性的诱导提示。
檔案格式:本次发现的新变种以 RAR、ZIP 等压缩格式(内含 EXE 可执行程式)为主,与之前变种不同的是,此次攻击者为压缩包設定了解压密码,并在钓鱼信息中进行提示告知,以逃避社交媒体軟體和部分安全軟體的检测,使其具有更强的传播能力。
檔案 HASH:34101194d27df8bc823e339d590e18f2
进程特征
木马病毒被安装运行后,会在作業系統中创建新进程,进程名与檔案名相同,并从回联伺服器下载其他恶意代码直接在内存中加载执行。
网络通信特征
回联地址为:156.***.***.90,端口号为:1217
命令控制伺服器(C2)網域名为:mm7ja.*****. cn,端口号为:6666
网络安全管理员可根据上述特征配置防火墙策略,对异常通信行为进行拦截。其中与 C2 地址的通信过程中,攻击者会收集受害主机的作業系統信息、网络配置信息、USB 设备信息、螢幕截图、键盘记录、剪切板内容等敏感数据。
其他特征
本次发现的新变种还具有主动攻击安全軟體的功能,试图通过模拟用户滑鼠键盘操作关闭防病毒軟體。
防范措施
不要轻信微信群、QQ 群或其他社交媒体軟體中传播的所谓政府机关和公共管理机构发布的通知及相关工作檔案和官方程式(或相应下载链接),应通过官方渠道进行核实。
带密码的加密压缩包并不代表内容安全,针对类似此次传播的 " 银狐 " 木马病毒加密压缩包檔案的新特点,用户可将解压后的可疑檔案先行上传至国家计算机病毒协同分析平台进行安全性检测,并保持防病毒軟體实时监控功能开启,将电腦作業系統和防病毒軟體更新到最新版本。
一旦发现电腦作業系統的安全功能和防病毒軟體在非自主操作情况下被异常关闭,应立即主动切断网络连接,对重要数据进行迁移和备份,并对相关设备进行停用直至通过系统重装或还原、完全的安全检测和安全加固后方可继续使用。
一旦发现微信、QQ 或其他社交媒体軟體发生被盗现象,应向亲友和所在部門同事告知相关情况,并通过相对安全的设备和网络环境修改登录密码,对自己常用的计算机和移动通信设备进行杀毒和安全检查,如反复出现账号被盗情况,应在备份重要数据的前提下,考虑重新安装作業系統和防病毒軟體并更新到最新版本。
