一、相關病毒傳播案例

近日，國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室依托國家計算機病毒協同分析平臺在我國境內發(fā)現針對我國用戶的“銀狐”（又名：“游蛇”、“谷墮大盜”等）木馬病毒最新變種。攻擊者通過構造財務、稅務等主題的釣魚網頁，通過微信群傳播該木馬病毒的下載鏈接。如圖1、圖2所示。

圖1 釣魚信息及鏈接(1)

 圖2 釣魚信息及鏈接(2)

用戶點擊上述釣魚鏈接后，釣魚網頁會根據用戶終端類型進行跳轉，如果用戶使用手機終端訪問，則會提示用戶使用電腦終端進行訪問，用戶使用電腦終端訪問鏈接后會下載文件名為“金稅四期（電腦版）-uninstall.msi”的安裝包文件或“金稅五期（電腦版）-uninstall.zip”的壓縮包文件（內含同文件名的可執(zhí)行程序文件），實際為“銀狐”木馬病毒家族的最新變種程序。如果用戶運行相關程序文件，將被攻擊者實施遠程控制、竊密、網絡詐騙等惡意活動并充當進一步攻擊的“跳板”。

二、病毒感染特征

1. 釣魚信息特征

釣魚信息可能通過微信群、QQ群等社交媒體或電子郵件發(fā)送，信息通常為犯罪分子偽造的官方通知，主題通常涉及財稅或金融管理等公共管理部門發(fā)布的最新政策和工作通知等，并附所謂的對接相關工作所需專用程序的下載鏈接。

2. 文件特征

1）文件名

犯罪分子通常會將木馬病毒程序的文件名設置為與財稅、金融管理部門相關工作具有顯著關聯，且對相關崗位工作人員具有較高辨識度的名稱，如：“金稅四期（電腦版）”、“金稅五期（電腦版）”等，并以此為誘餌欺騙企業(yè)中的財務管理人員或個體經營者。由于目前該木馬病毒程序的變種大多只針對安裝Windows操作系統(tǒng)的傳統(tǒng)PC環(huán)境，犯罪分子也會在文件名中設置“電腦版”、“PC版”等關鍵詞以誘導受害用戶在相應環(huán)境下安裝。

2）文件格式

目前已知的該木馬病毒常用文件格式以MSI安裝包格式和ZIP、RAR等壓縮包格式（內含MSI或EXE等可執(zhí)行程序）為主。

3）文件HASH

cf8088b59ee684cbd7d43edcc42b2eec

f3cad147e35f236772b5e10f4292ba6e

網絡安全管理員可通過國家計算機病毒協同分析平臺獲得相關病毒樣本的詳細信息，如下: 

https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=cf8088b59ee684cbd7d43edcc42b2eec

https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=f3cad147e35f236772b5e10f4292ba6e

3.系統(tǒng)駐留特征 

木馬病毒被安裝后，會在操作系統(tǒng)中注冊名為“UserDataSvc_[字母與數字隨機組合]”的系統(tǒng)服務，實現開機自啟動和持久駐留，如圖3所示。

圖3 注冊系統(tǒng)服務實現系統(tǒng)持久駐留

4.網絡通信特征     

回聯地址為：154.**.**.95

命令控制服務器（C2）域名為：8848.********.zip

其中與C2地址的通信內容中，會包含受害主機的操作系統(tǒng)信息、用戶名、CPU信息、內存信息以及內網IP地址等數據，如下：

三、防范措施

國家計算機病毒應急處理中心提示廣大企事業(yè)單位，特別是從事電商業(yè)務的中小微企業(yè)以及個體經營者和個人網絡用戶，臨近年末，各類財稅和金融業(yè)務繁忙，從事相關業(yè)務的工作人員務必提高警惕，防范以計算機病毒為作案工具的電信網絡詐騙活動。建議廣大用戶采取以下防范措施：

1.不要輕信微信群、QQ群或其他社交媒體軟件中傳播的所謂政府主管部門或金融機構發(fā)布的通知，應通過官方渠道進行核實。

2.不要從微信群、QQ群或其他社交媒體軟件的聊天群組中傳播的網絡鏈接（或二維碼）下載所謂的官方程序。

3.一旦發(fā)現微信、QQ或其他社交媒體軟件發(fā)生被盜現象，應向親友和所在單位及同事告知相關情況，并通過相對安全的設備和網絡環(huán)境修改登錄密碼，并對自己常用的計算機和移動通信設備進行殺毒和安全檢查，如反復出現賬號被盜情況，應在備份重要數據的前提下，考慮重新安裝操作系統(tǒng)和安全軟件并更新到最新版本。

4.對安全性未知的可疑文件，可訪問國家計算機病毒協同分析平臺（https://virus.cverc.org.cn）進行提交檢測。

文章來源：CVERC-國家計算機病毒應急處理中心