警惕！“銀狐”木馬病毒再次出現(xiàn)新變種并更新傳播手法

　　我國境內(nèi)再次捕獲發(fā)現(xiàn)針對我國用戶的“銀狐”木馬病毒的最新變種,。在本次傳播過程中,，攻擊者繼續(xù)通過構(gòu)造財務(wù),、稅務(wù)違規(guī)稽查通知等主題的釣魚信息和收藏鏈接，通過微信群直接傳播包含該木馬病毒的加密壓縮包文件，如圖1所示,。

　　釣魚信息及壓縮包文件

　　圖中名為“筆記”等字樣的收藏鏈接指向文件名為“違規(guī)-記錄(1).rar”等壓縮包文件,，用戶按照釣魚信息給出的解壓密碼解壓壓縮包文件后，會看到以“開票-目錄.exe”“違規(guī)-告示.exe”等命名的可執(zhí)行程序文件,，這些可執(zhí)行程序?qū)嶋H為“銀狐”遠(yuǎn)控木馬家族于12月更新傳播的最新變種程序,。如果用戶運行相關(guān)惡意程序文件，將被攻擊者實施遠(yuǎn)程控制,、竊密等惡意操作,，并可能被犯罪分子利用充當(dāng)進(jìn)一步實施電信網(wǎng)絡(luò)詐騙活動的“跳板”。

　　本次發(fā)現(xiàn)攻擊者使用的釣魚信息仍然以偽造官方通知為主,。結(jié)合年末特點,，攻擊者刻意強調(diào)“12月”“稽查”“違規(guī)”等關(guān)鍵詞，借此使?jié)撛谑芎φ咴黾泳o迫感從而放松警惕,。在釣魚信息之后,，攻擊者繼續(xù)發(fā)送附帶所謂的相關(guān)工作文件的釣魚鏈接。

　　對于本次發(fā)現(xiàn)的新一批變種,，犯罪分子繼續(xù)將木馬病毒程序的文件名設(shè)置為與財稅,、金融管理等相關(guān)工作具有密切聯(lián)系的名稱，以引誘相關(guān)崗位工作人員點擊下載運行,，如：“開票-目錄”“違規(guī)-記錄”“違規(guī)-告示”等,。此次發(fā)現(xiàn)的新變種仍然只針對安裝Windows操作系統(tǒng)的傳統(tǒng)PC環(huán)境，犯罪分子也會在釣魚信息中使用“請使用電腦版”等話術(shù)進(jìn)行有針對性的誘導(dǎo)提示,。

　　本次發(fā)現(xiàn)的新變種以RAR,、ZIP等壓縮格式(內(nèi)含EXE可執(zhí)行程序)為主，與之前變種不同的是,，此次攻擊者為壓縮包設(shè)置了解壓密碼,，并在釣魚信息中進(jìn)行提示告知，以逃避社交媒體軟件和部分安全軟件的檢測,，使其具有更強的傳播能力,。木馬病毒被安裝運行后，會在操作系統(tǒng)中創(chuàng)建新進(jìn)程,，進(jìn)程名與文件名相同,，并從回聯(lián)服務(wù)器下載其他惡意代碼直接在內(nèi)存中加載執(zhí)行。

　　回聯(lián)地址為：156.***.***.90,，端口號為：1217

　　命令控制服務(wù)器(C2)域名為：mm7ja.*****.cn,，端口號為：6666

　　網(wǎng)絡(luò)安全管理員可根據(jù)上述特征配置防火墻策略，對異常通信行為進(jìn)行攔截,。其中與C2地址的通信過程中,，攻擊者會收集受害主機的操作系統(tǒng)信息,、網(wǎng)絡(luò)配置信息、USB設(shè)備信息,、屏幕截圖,、鍵盤記錄、剪切板內(nèi)容等敏感數(shù)據(jù),。

　　本次發(fā)現(xiàn)的新變種還具有主動攻擊安全軟件的功能,，試圖通過模擬用戶鼠標(biāo)鍵盤操作關(guān)閉防病毒軟件。

　　臨近年末,，國家計算機病毒應(yīng)急處理中心再次提示廣大企事業(yè)單位和個人網(wǎng)絡(luò)用戶提高針對各類電信網(wǎng)絡(luò)詐騙活動的警惕性和防范意識,，不要輕易被犯罪分子的釣魚話術(shù)所誘導(dǎo)。結(jié)合本次發(fā)現(xiàn)的銀狐木馬病毒新變種傳播活動的相關(guān)特點,，建議廣大用戶采取以下防范措施：

　　來源：新華社

編輯: 馬慧瓊  

本文轉(zhuǎn)自：甌海新聞網(wǎng) ohnews.cn