12月20日,国度盘算机病毒济急处理中心发布对于针对我国用户的“银狐”木马病毒再次出现新变种并更新传播手法的预警评释。
一、关联病毒传播案例
近日,国度盘算机病毒济急处理中心和盘算机病毒防治时代国度工程实验室依托国度盘算机病毒协同分析平台(https://virus.cverc.org.cn)在我国境内再次拿获发现针对我国用户的“银狐”木马病毒的最新变种。在本次传播进程中,挫折者连接通过构造财务、税务违法查察呈报等主题的垂纶信息和保藏联结,通过微信群平直传播包含该木马病毒的加密压缩包文献,如图1所示。
图1 垂纶信息及压缩包文献
图1中名为“条记”等字样的保藏联结指向文献名为“违法-纪录(1).rar”等压缩包文献,用户按照垂纶信息给出的解压密码解压压缩包文献后,会看到以“开票-目次.exe”、“违法-晓示.exe”等定名的可实际程前言件,这些可实际智商实质为“银狐”远控木马眷属于12月更新传播的最新变种智商。淌若用户启动关联坏心程前言件,将被挫折者实施汉典鸿沟、窃密等坏心操作,并可能被罪犯分子诳骗充任进一步实施电信聚集欺诈行径的“跳板”。
二、病毒感染特征
1. 垂纶信息特征
本次发现挫折者使用的垂纶信息仍然以伪造官方呈报为主。蚁合年末本性,挫折者刻意强调“12月”、“查察”、“违法”等关节词,借此使潜在受害者增多紧要感从而斥责警惕。在垂纶信息之后,挫折者连接发送附带所谓的关联使命文献的垂纶联结。
2. 文献特征
1)文献名
对于本次发现的新一批变种,罪犯分子连接将木马病毒智商的文献名设立为与财税、金融科罚等关联使命具有密切干系的称号,以招引关联岗亭使命主说念主员点击下载启动,如:“开票-目次”、“违法-纪录”、“违法-晓示”等。这次发现的新变种仍然只针对装配Windows操作系统的传统PC环境,罪犯分子也会在垂纶信息中使用“请使用电脑版”等话术进行有针对性的训诫教唆。
2)文献神气
本次发现的新变种以RAR、ZIP等压缩神气(内含EXE可实际智商)为主,与之前变种不同的是,这次挫折者为压缩包设立了解压密码,并在垂纶信息中进行教唆奉告,以躲闪酬酢媒体软件和部分安全软件的检测,使其具有更强的传播智力。
3)文献HASH
34101194d27df8bc823e339d590e18f2
聚集安全科罚员可通过国度盘算机病毒协同分析平台(https://virus.cverc.org.cn)得到关联病毒样本的贯注信息,如下:
https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=34101194d27df8bc823e339d590e18f2
3.程度特征
木马病毒被装配启动后,会在操作系统中创建新程度,套现程度名与文献名疏浚,并从回联就业器下载其他坏心代码平直在内存中加载实际。
4.聚集通讯特征
回联地址为:156.***.***.90,端标语为:1217
呐喊鸿沟就业器(C2)域名为:mm7ja.*****. cn,端标语为:6666
聚集安全科罚员可把柄上述特征确立防火墙政策,对绝顶通讯作为进行遏制。其中与C2地址的通讯进程中,挫折者会采集受害主机的操作系统信息、聚集确立信息、USB教育信息、屏幕截图、键盘纪录、剪切板内容等明锐数据。
5.其他特征
本次发现的新变种还具有主动挫折安全软件的功能,试图通过模拟用户鼠标键盘操作关闭防病毒软件。
三、防御法子
临连年末,国度盘算机病毒济急处理中心再次教唆巨大企管事单元和个东说念主聚集用户晋升针对各类电信聚集欺诈行径的警惕性和防御相识,不要自便被罪犯分子的垂纶话术所训诫。蚁合本次发现的银狐木马病毒新变种传播行径的关联本性,残暴巨大用户经受以下防御法子:
1.不要轻信微信群、QQ群或其他酬酢媒体软件中传播的所谓政府机关和世界科罚机构发布的呈报及关联使命文献和官方智商(或相应下载联结),应通过官方渠说念进行核实。
2.带密码的加密压缩包并不代表内容安全,针对访佛这次传播的“银狐”木马病毒加密压缩包文献的新本性,用户可将解压后的可疑文献先行上传至国度盘算机病毒协同分析平台(https://virus.cverc.org.cn)进行安全性检测,并保执防病毒软件及时监控功能开启,将电脑操作系统和防病毒软件更新到最新版块。
3.一朝发现电脑操作系统的安全功能和防病毒软件在非自主操作情况下被绝顶关闭,应立即主动割断聚集联结,对紧要数据进行转移和备份,并对关联教育进行停用直至通过系统重装或回话、十足的安全检测和安全加固后方可连接使用。
4.一朝发现微信、QQ或其他酬酢媒体软件发生被盗样式,应向亲一又和地地契元共事奉告关联情况,并通过相对安全的教育和聚集环境修改登录密码,对我方常用的盘算机和转移通讯教育进行杀毒和安全查验,如反复出现账号被盗情况,应在备份紧要数据的前提下,有计划从头装配操作系统和防病毒软件并更新到最新版块。
本预警评释得到了北京神州绿盟科技有限公司、北京华安云科聚集时代有限公司、南开大学聚集空间安全学院、北京瑞星网安时代股份有限公司、安天科技集团股份有限公司、盘算机病毒防治时代国度工程实验室和国度盘算机病毒协同分析平台等各共建单元的时代和信息维持,特此致谢。