中新網(wǎng)12月20日電 據(jù)國家計(jì)算機(jī)病毒應(yīng)急處理中心網(wǎng)站消息，國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布《關(guān)于針對(duì)我國用戶的“銀狐”木馬病毒再次出現(xiàn)新變種并更新傳播手法的預(yù)警報(bào)告》。

　　一、相關(guān)病毒傳播案例

　　近日，國家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國家工程實(shí)驗(yàn)室依托國家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)(https://virus.cverc.org.cn)在我國境內(nèi)再次捕獲發(fā)現(xiàn)針對(duì)我國用戶的“銀狐”木馬病毒的最新變種。在本次傳播過程中，攻擊者繼續(xù)通過構(gòu)造財(cái)務(wù)、稅務(wù)違規(guī)稽查通知等主題的釣魚信息和收藏鏈接，通過微信群直接傳播包含該木馬病毒的加密壓縮包文件，如圖1所示。

　　圖1中名為“筆記”等字樣的收藏鏈接指向文件名為“違規(guī)-記錄(1).rar”等壓縮包文件，用戶按照釣魚信息給出的解壓密碼解壓壓縮包文件后，會(huì)看到以“開票-目錄.exe”、“違規(guī)-告示.exe”等命名的可執(zhí)行程序文件，這些可執(zhí)行程序?qū)嶋H為“銀狐”遠(yuǎn)控木馬家族于12月更新傳播的最新變種程序。如果用戶運(yùn)行相關(guān)惡意程序文件，將被攻擊者實(shí)施遠(yuǎn)程控制、竊密等惡意操作，并可能被犯罪分子利用充當(dāng)進(jìn)一步實(shí)施電信網(wǎng)絡(luò)詐騙活動(dòng)的“跳板”。

　　二、病毒感染特征

　　1. 釣魚信息特征

　　本次發(fā)現(xiàn)攻擊者使用的釣魚信息仍然以偽造官方通知為主。結(jié)合年末特點(diǎn)，攻擊者刻意強(qiáng)調(diào)“12月”、“稽查”、“違規(guī)”等關(guān)鍵詞，借此使?jié)撛谑芎φ咴黾泳o迫感從而放松警惕。在釣魚信息之后，攻擊者繼續(xù)發(fā)送附帶所謂的相關(guān)工作文件的釣魚鏈接。

　　2. 文件特征

　　1)文件名

　　對(duì)于本次發(fā)現(xiàn)的新一批變種，犯罪分子繼續(xù)將木馬病毒程序的文件名設(shè)置為與財(cái)稅、金融管理等相關(guān)工作具有密切聯(lián)系的名稱，以引誘相關(guān)崗位工作人員點(diǎn)擊下載運(yùn)行，如：“開票-目錄”、“違規(guī)-記錄”、“違規(guī)-告示”等。此次發(fā)現(xiàn)的新變種仍然只針對(duì)安裝Windows操作系統(tǒng)的傳統(tǒng)PC環(huán)境，犯罪分子也會(huì)在釣魚信息中使用“請(qǐng)使用電腦版”等話術(shù)進(jìn)行有針對(duì)性的誘導(dǎo)提示。

　　2)文件格式

　　本次發(fā)現(xiàn)的新變種以RAR、ZIP等壓縮格式(內(nèi)含EXE可執(zhí)行程序)為主，與之前變種不同的是，此次攻擊者為壓縮包設(shè)置了解壓密碼，并在釣魚信息中進(jìn)行提示告知，以逃避社交媒體軟件和部分安全軟件的檢測(cè)，使其具有更強(qiáng)的傳播能力。

　　3)文件HASH

　　34101194d27df8bc823e339d590e18f2

　　網(wǎng)絡(luò)安全管理員可通過國家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)(https://virus.cverc.org.cn)獲得相關(guān)病毒樣本的詳細(xì)信息，如下：

　　https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=34101194d27df8bc823e339d590e18f2

　　3.進(jìn)程特征

　　木馬病毒被安裝運(yùn)行后，會(huì)在操作系統(tǒng)中創(chuàng)建新進(jìn)程，進(jìn)程名與文件名相同，并從回聯(lián)服務(wù)器下載其他惡意代碼直接在內(nèi)存中加載執(zhí)行。

　　4.網(wǎng)絡(luò)通信特征

　　回聯(lián)地址為：156.***.***.90，端口號(hào)為：1217

　　命令控制服務(wù)器(C2)域名為：mm7ja.*****. cn，端口號(hào)為：6666

　　網(wǎng)絡(luò)安全管理員可根據(jù)上述特征配置防火墻策略，對(duì)異常通信行為進(jìn)行攔截。其中與C2地址的通信過程中，攻擊者會(huì)收集受害主機(jī)的操作系統(tǒng)信息、網(wǎng)絡(luò)配置信息、USB設(shè)備信息、屏幕截圖、鍵盤記錄、剪切板內(nèi)容等敏感數(shù)據(jù)。

　　5.其他特征

　　本次發(fā)現(xiàn)的新變種還具有主動(dòng)攻擊安全軟件的功能，試圖通過模擬用戶鼠標(biāo)鍵盤操作關(guān)閉防病毒軟件。

　　三、防范措施

　　臨近年末，國家計(jì)算機(jī)病毒應(yīng)急處理中心再次提示廣大企事業(yè)單位和個(gè)人網(wǎng)絡(luò)用戶提高針對(duì)各類電信網(wǎng)絡(luò)詐騙活動(dòng)的警惕性和防范意識(shí)，不要輕易被犯罪分子的釣魚話術(shù)所誘導(dǎo)。結(jié)合本次發(fā)現(xiàn)的銀狐木馬病毒新變種傳播活動(dòng)的相關(guān)特點(diǎn)，建議廣大用戶采取以下防范措施：

　　1.不要輕信微信群、QQ群或其他社交媒體軟件中傳播的所謂政府機(jī)關(guān)和公共管理機(jī)構(gòu)發(fā)布的通知及相關(guān)工作文件和官方程序(或相應(yīng)下載鏈接)，應(yīng)通過官方渠道進(jìn)行核實(shí)。

　　2.帶密碼的加密壓縮包并不代表內(nèi)容安全，針對(duì)類似此次傳播的“銀狐”木馬病毒加密壓縮包文件的新特點(diǎn)，用戶可將解壓后的可疑文件先行上傳至國家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)(https://virus.cverc.org.cn)進(jìn)行安全性檢測(cè)，并保持防病毒軟件實(shí)時(shí)監(jiān)控功能開啟，將電腦操作系統(tǒng)和防病毒軟件更新到最新版本。

　　3.一旦發(fā)現(xiàn)電腦操作系統(tǒng)的安全功能和防病毒軟件在非自主操作情況下被異常關(guān)閉，應(yīng)立即主動(dòng)切斷網(wǎng)絡(luò)連接，對(duì)重要數(shù)據(jù)進(jìn)行遷移和備份，并對(duì)相關(guān)設(shè)備進(jìn)行停用直至通過系統(tǒng)重裝或還原、完全的安全檢測(cè)和安全加固后方可繼續(xù)使用。

　　4.一旦發(fā)現(xiàn)微信、QQ或其他社交媒體軟件發(fā)生被盜現(xiàn)象，應(yīng)向親友和所在單位同事告知相關(guān)情況，并通過相對(duì)安全的設(shè)備和網(wǎng)絡(luò)環(huán)境修改登錄密碼，對(duì)自己常用的計(jì)算機(jī)和移動(dòng)通信設(shè)備進(jìn)行殺毒和安全檢查，如反復(fù)出現(xiàn)賬號(hào)被盜情況，應(yīng)在備份重要數(shù)據(jù)的前提下，考慮重新安裝操作系統(tǒng)和防病毒軟件并更新到最新版本。