- 首頁
- 民文
- English
- 網(wǎng)站無障礙
- 舉報
- 登錄
警惕!“銀狐”木馬病毒再次出現(xiàn)新變種并更新傳播手法
中新網(wǎng)12月20日電 據(jù)國家計算機病毒應急處理中心網(wǎng)站消息,國家計算機病毒應急處理中心發(fā)布《關于針對我國用戶的“銀狐”木馬病毒再次出現(xiàn)新變種并更新傳播手法的預警報告》。
一、相關病毒傳播案例
近日,國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室依托國家計算機病毒協(xié)同分析平臺(https://virus.cverc.org.cn)在我國境內再次捕獲發(fā)現(xiàn)針對我國用戶的“銀狐”木馬病毒的最新變種。在本次傳播過程中,攻擊者繼續(xù)通過構造財務、稅務違規(guī)稽查通知等主題的釣魚信息和收藏鏈接,通過微信群直接傳播包含該木馬病毒的加密壓縮包文件,如圖1所示。
圖1 釣魚信息及壓縮包文件。圖源:國家計算機病毒應急處理中心網(wǎng)站
圖1中名為“筆記”等字樣的收藏鏈接指向文件名為“違規(guī)-記錄(1).rar”等壓縮包文件,用戶按照釣魚信息給出的解壓密碼解壓壓縮包文件后,會看到以“開票-目錄.exe”、“違規(guī)-告示.exe”等命名的可執(zhí)行程序文件,這些可執(zhí)行程序實際為“銀狐”遠控木馬家族于12月更新傳播的最新變種程序。如果用戶運行相關惡意程序文件,將被攻擊者實施遠程控制、竊密等惡意操作,并可能被犯罪分子利用充當進一步實施電信網(wǎng)絡詐騙活動的“跳板”。
二、病毒感染特征
1. 釣魚信息特征
本次發(fā)現(xiàn)攻擊者使用的釣魚信息仍然以偽造官方通知為主。結合年末特點,攻擊者刻意強調“12月”、“稽查”、“違規(guī)”等關鍵詞,借此使?jié)撛谑芎φ咴黾泳o迫感從而放松警惕。在釣魚信息之后,攻擊者繼續(xù)發(fā)送附帶所謂的相關工作文件的釣魚鏈接。
2. 文件特征
1)文件名
對于本次發(fā)現(xiàn)的新一批變種,犯罪分子繼續(xù)將木馬病毒程序的文件名設置為與財稅、金融管理等相關工作具有密切聯(lián)系的名稱,以引誘相關崗位工作人員點擊下載運行,如:“開票-目錄”、“違規(guī)-記錄”、“違規(guī)-告示”等。此次發(fā)現(xiàn)的新變種仍然只針對安裝Windows操作系統(tǒng)的傳統(tǒng)PC環(huán)境,犯罪分子也會在釣魚信息中使用“請使用電腦版”等話術進行有針對性的誘導提示。
2)文件格式
本次發(fā)現(xiàn)的新變種以RAR、ZIP等壓縮格式(內含EXE可執(zhí)行程序)為主,與之前變種不同的是,此次攻擊者為壓縮包設置了解壓密碼,并在釣魚信息中進行提示告知,以逃避社交媒體軟件和部分安全軟件的檢測,使其具有更強的傳播能力。
3)文件HASH
34101194d27df8bc823e339d590e18f2
網(wǎng)絡安全管理員可通過國家計算機病毒協(xié)同分析平臺(https://virus.cverc.org.cn)獲得相關病毒樣本的詳細信息,如下:
https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=34101194d27df8bc823e339d590e18f2
3.進程特征
木馬病毒被安裝運行后,會在操作系統(tǒng)中創(chuàng)建新進程,進程名與文件名相同,并從回聯(lián)服務器下載其他惡意代碼直接在內存中加載執(zhí)行。
4.網(wǎng)絡通信特征
回聯(lián)地址為:156.***.***.90,端口號為:1217
命令控制服務器(C2)域名為:mm7ja.*****. cn,端口號為:6666
網(wǎng)絡安全管理員可根據(jù)上述特征配置防火墻策略,對異常通信行為進行攔截。其中與C2地址的通信過程中,攻擊者會收集受害主機的操作系統(tǒng)信息、網(wǎng)絡配置信息、USB設備信息、屏幕截圖、鍵盤記錄、剪切板內容等敏感數(shù)據(jù)。
5.其他特征
本次發(fā)現(xiàn)的新變種還具有主動攻擊安全軟件的功能,試圖通過模擬用戶鼠標鍵盤操作關閉防病毒軟件。
三、防范措施
臨近年末,國家計算機病毒應急處理中心再次提示廣大企事業(yè)單位和個人網(wǎng)絡用戶提高針對各類電信網(wǎng)絡詐騙活動的警惕性和防范意識,不要輕易被犯罪分子的釣魚話術所誘導。結合本次發(fā)現(xiàn)的銀狐木馬病毒新變種傳播活動的相關特點,建議廣大用戶采取以下防范措施:
1.不要輕信微信群、QQ群或其他社交媒體軟件中傳播的所謂政府機關和公共管理機構發(fā)布的通知及相關工作文件和官方程序(或相應下載鏈接),應通過官方渠道進行核實。
2.帶密碼的加密壓縮包并不代表內容安全,針對類似此次傳播的“銀狐”木馬病毒加密壓縮包文件的新特點,用戶可將解壓后的可疑文件先行上傳至國家計算機病毒協(xié)同分析平臺(https://virus.cverc.org.cn)進行安全性檢測,并保持防病毒軟件實時監(jiān)控功能開啟,將電腦操作系統(tǒng)和防病毒軟件更新到最新版本。
3.一旦發(fā)現(xiàn)電腦操作系統(tǒng)的安全功能和防病毒軟件在非自主操作情況下被異常關閉,應立即主動切斷網(wǎng)絡連接,對重要數(shù)據(jù)進行遷移和備份,并對相關設備進行停用直至通過系統(tǒng)重裝或還原、完全的安全檢測和安全加固后方可繼續(xù)使用。
4.一旦發(fā)現(xiàn)微信、QQ或其他社交媒體軟件發(fā)生被盜現(xiàn)象,應向親友和所在單位同事告知相關情況,并通過相對安全的設備和網(wǎng)絡環(huán)境修改登錄密碼,對自己常用的計算機和移動通信設備進行殺毒和安全檢查,如反復出現(xiàn)賬號被盜情況,應在備份重要數(shù)據(jù)的前提下,考慮重新安裝操作系統(tǒng)和防病毒軟件并更新到最新版本。
分享讓更多人看到
推薦閱讀
- 航司旅客運輸量創(chuàng)紀錄 中國未來將成全球最大航空服務市場
- 人民網(wǎng)北京12月20日電 (記者喬雪峰)今年以來,我國民航安全態(tài)勢保持總體平穩(wěn),運輸生產(chǎn)保持良好增長態(tài)勢,運行效率持續(xù)提升,企業(yè)經(jīng)營得到改善,投資規(guī)模力度不減,新質生產(chǎn)力加快培育,民航發(fā)展內生動力和服務國家戰(zhàn)略能力進一步增強,行業(yè)高質量發(fā)展取得新成效。 記者從民航局獲悉,根據(jù)行業(yè)監(jiān)測數(shù)據(jù),截至12月15日,今年我國航空公司完成的旅客運輸量超過7億人次,達到70048萬人次,日均旅客運輸量超過200萬人次,同比增長18.1%、較2019年增長10.7%,創(chuàng)我國民航發(fā)展歷史新高。…
客戶端下載
熱門排行
- 1全谷物消費帶動節(jié)糧減損 提高國民營養(yǎng)健…
- 2明年經(jīng)濟工作怎么干?讀懂中央經(jīng)濟工作會…
- 3 深入解讀2024年中央經(jīng)濟工作會議精…
- 42024鄉(xiāng)村振興大會平行論壇·茶產(chǎn)業(yè)論…
- 5以科技創(chuàng)新引領新質生產(chǎn)力發(fā)展
- 6個人養(yǎng)老金制度今起推向全國 一文了解有…
- 7 科技賦能農(nóng)機 田野擁抱智慧(創(chuàng)新賦…
- 8提高赤字率、增發(fā)超長期特別國債……更加…
- 9 做好養(yǎng)老金融大文章(銳財經(jīng))
- 10郝曉偉:滿足健康與情感雙需求 老品牌煥…
提供新聞線索