警惕！“銀狐”木馬病毒再次出現(xiàn)新變種并更新傳播手法

　　我國(guó)境內(nèi)再次捕獲發(fā)現(xiàn)針對(duì)我國(guó)用戶的“銀狐”木馬病毒的最新變種,。在本次傳播過(guò)程中,，攻擊者繼續(xù)通過(guò)構(gòu)造財(cái)務(wù),、稅務(wù)違規(guī)稽查通知等主題的釣魚(yú)信息和收藏鏈接，通過(guò)微信群直接傳播包含該木馬病毒的加密壓縮包文件,，如圖1所示,。

　　釣魚(yú)信息及壓縮包文件

　　圖中名為“筆記”等字樣的收藏鏈接指向文件名為“違規(guī)-記錄(1).rar”等壓縮包文件，用戶按照釣魚(yú)信息給出的解壓密碼解壓壓縮包文件后,，會(huì)看到以“開(kāi)票-目錄.exe”“違規(guī)-告示.exe”等命名的可執(zhí)行程序文件,，這些可執(zhí)行程序?qū)嶋H為“銀狐”遠(yuǎn)控木馬家族于12月更新傳播的最新變種程序,。如果用戶運(yùn)行相關(guān)惡意程序文件,，將被攻擊者實(shí)施遠(yuǎn)程控制、竊密等惡意操作,，并可能被犯罪分子利用充當(dāng)進(jìn)一步實(shí)施電信網(wǎng)絡(luò)詐騙活動(dòng)的“跳板”,。

　　本次發(fā)現(xiàn)攻擊者使用的釣魚(yú)信息仍然以偽造官方通知為主。結(jié)合年末特點(diǎn),，攻擊者刻意強(qiáng)調(diào)“12月”“稽查”“違規(guī)”等關(guān)鍵詞,，借此使?jié)撛谑芎φ咴黾泳o迫感從而放松警惕。在釣魚(yú)信息之后,，攻擊者繼續(xù)發(fā)送附帶所謂的相關(guān)工作文件的釣魚(yú)鏈接,。

　　對(duì)于本次發(fā)現(xiàn)的新一批變種，犯罪分子繼續(xù)將木馬病毒程序的文件名設(shè)置為與財(cái)稅,、金融管理等相關(guān)工作具有密切聯(lián)系的名稱,，以引誘相關(guān)崗位工作人員點(diǎn)擊下載運(yùn)行，如：“開(kāi)票-目錄”“違規(guī)-記錄”“違規(guī)-告示”等,。此次發(fā)現(xiàn)的新變種仍然只針對(duì)安裝Windows操作系統(tǒng)的傳統(tǒng)PC環(huán)境,，犯罪分子也會(huì)在釣魚(yú)信息中使用“請(qǐng)使用電腦版”等話術(shù)進(jìn)行有針對(duì)性的誘導(dǎo)提示,。

　　本次發(fā)現(xiàn)的新變種以RAR、ZIP等壓縮格式(內(nèi)含EXE可執(zhí)行程序)為主,，與之前變種不同的是,，此次攻擊者為壓縮包設(shè)置了解壓密碼，并在釣魚(yú)信息中進(jìn)行提示告知,，以逃避社交媒體軟件和部分安全軟件的檢測(cè),，使其具有更強(qiáng)的傳播能力。木馬病毒被安裝運(yùn)行后,，會(huì)在操作系統(tǒng)中創(chuàng)建新進(jìn)程,，進(jìn)程名與文件名相同，并從回聯(lián)服務(wù)器下載其他惡意代碼直接在內(nèi)存中加載執(zhí)行,。

　　回聯(lián)地址為：156.***.***.90,，端口號(hào)為：1217

　　命令控制服務(wù)器(C2)域名為：mm7ja.*****.cn，端口號(hào)為：6666

　　網(wǎng)絡(luò)安全管理員可根據(jù)上述特征配置防火墻策略,，對(duì)異常通信行為進(jìn)行攔截,。其中與C2地址的通信過(guò)程中，攻擊者會(huì)收集受害主機(jī)的操作系統(tǒng)信息,、網(wǎng)絡(luò)配置信息,、USB設(shè)備信息、屏幕截圖,、鍵盤記錄,、剪切板內(nèi)容等敏感數(shù)據(jù)。

　　本次發(fā)現(xiàn)的新變種還具有主動(dòng)攻擊安全軟件的功能,，試圖通過(guò)模擬用戶鼠標(biāo)鍵盤操作關(guān)閉防病毒軟件,。

　　臨近年末，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心再次提示廣大企事業(yè)單位和個(gè)人網(wǎng)絡(luò)用戶提高針對(duì)各類電信網(wǎng)絡(luò)詐騙活動(dòng)的警惕性和防范意識(shí),，不要輕易被犯罪分子的釣魚(yú)話術(shù)所誘導(dǎo),。結(jié)合本次發(fā)現(xiàn)的銀狐木馬病毒新變種傳播活動(dòng)的相關(guān)特點(diǎn)，建議廣大用戶采取以下防范措施：

　　來(lái)源：新華社

編輯: 馬慧瓊  

本文轉(zhuǎn)自：甌海新聞網(wǎng) ohnews.cn