一���、相關(guān)病毒傳播案例
近日,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室依托國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)在我國(guó)境內(nèi)發(fā)現(xiàn)針對(duì)我國(guó)用戶的“銀狐”(又名:“游蛇”、“谷墮大盜”等)木馬病毒最新變種�����。攻擊者通過(guò)構(gòu)造財(cái)務(wù)�����、稅務(wù)等主題的釣魚(yú)網(wǎng)頁(yè)�����,通過(guò)微信群傳播該木馬病毒的下載鏈接�����。如圖1��、圖2所示�����。
圖1 釣魚(yú)信息及鏈接(1)
圖2 釣魚(yú)信息及鏈接(2)
用戶點(diǎn)擊上述釣魚(yú)鏈接后�,釣魚(yú)網(wǎng)頁(yè)會(huì)根據(jù)用戶終端類(lèi)型進(jìn)行跳轉(zhuǎn),如果用戶使用手機(jī)終端訪問(wèn)��,則會(huì)提示用戶使用電腦終端進(jìn)行訪問(wèn),用戶使用電腦終端訪問(wèn)鏈接后會(huì)下載文件名為“金稅四期(電腦版)-uninstall.msi”的安裝包文件或“金稅五期(電腦版)-uninstall.zip”的壓縮包文件(內(nèi)含同文件名的可執(zhí)行程序文件)���,實(shí)際為“銀狐”木馬病毒家族的最新變種程序。如果用戶運(yùn)行相關(guān)程序文件����,將被攻擊者實(shí)施遠(yuǎn)程控制、竊密�、網(wǎng)絡(luò)詐騙等惡意活動(dòng)并充當(dāng)進(jìn)一步攻擊的“跳板”。
二����、病毒感染特征
1. 釣魚(yú)信息特征
釣魚(yú)信息可能通過(guò)微信群、QQ群等社交媒體或電子郵件發(fā)送�����,信息通常為犯罪分子偽造的官方通知���,主題通常涉及財(cái)稅或金融管理等公共管理部門(mén)發(fā)布的最新政策和工作通知等����,并附所謂的對(duì)接相關(guān)工作所需專(zhuān)用程序的下載鏈接�����。
2. 文件特征
1)文件名
犯罪分子通常會(huì)將木馬病毒程序的文件名設(shè)置為與財(cái)稅、金融管理部門(mén)相關(guān)工作具有顯著關(guān)聯(lián)����,且對(duì)相關(guān)崗位工作人員具有較高辨識(shí)度的名稱(chēng),如:“金稅四期(電腦版)”�����、“金稅五期(電腦版)”等����,并以此為誘餌欺騙企業(yè)中的財(cái)務(wù)管理人員或個(gè)體經(jīng)營(yíng)者。由于目前該木馬病毒程序的變種大多只針對(duì)安裝Windows操作系統(tǒng)的傳統(tǒng)PC環(huán)境�����,犯罪分子也會(huì)在文件名中設(shè)置“電腦版”�����、“PC版”等關(guān)鍵詞以誘導(dǎo)受害用戶在相應(yīng)環(huán)境下安裝�����。
2)文件格式
目前已知的該木馬病毒常用文件格式以MSI安裝包格式和ZIP、RAR等壓縮包格式(內(nèi)含MSI或EXE等可執(zhí)行程序)為主����。
3)文件HASH
cf8088b59ee684cbd7d43edcc42b2eec
f3cad147e35f236772b5e10f4292ba6e
網(wǎng)絡(luò)安全管理員可通過(guò)國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)獲得相關(guān)病毒樣本的詳細(xì)信息,如下:
https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=cf8088b59ee684cbd7d43edcc42b2eec
https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=f3cad147e35f236772b5e10f4292ba6e
3.系統(tǒng)駐留特征
木馬病毒被安裝后����,會(huì)在操作系統(tǒng)中注冊(cè)名為“UserDataSvc_[字母與數(shù)字隨機(jī)組合]”的系統(tǒng)服務(wù)�,實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)和持久駐留,如圖3所示���。
圖3 注冊(cè)系統(tǒng)服務(wù)實(shí)現(xiàn)系統(tǒng)持久駐留
4.網(wǎng)絡(luò)通信特征
回聯(lián)地址為:154.**.**.95
命令控制服務(wù)器(C2)域名為:8848.********.zip
其中與C2地址的通信內(nèi)容中��,會(huì)包含受害主機(jī)的操作系統(tǒng)信息���、用戶名、CPU信息��、內(nèi)存信息以及內(nèi)網(wǎng)IP地址等數(shù)據(jù)�,如下:
三、防范措施
國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心提示廣大企事業(yè)單位���,特別是從事電商業(yè)務(wù)的中小微企業(yè)以及個(gè)體經(jīng)營(yíng)者和個(gè)人網(wǎng)絡(luò)用戶���,臨近年末��,各類(lèi)財(cái)稅和金融業(yè)務(wù)繁忙����,從事相關(guān)業(yè)務(wù)的工作人員務(wù)必提高警惕���,防范以計(jì)算機(jī)病毒為作案工具的電信網(wǎng)絡(luò)詐騙活動(dòng)�。建議廣大用戶采取以下防范措施:
1.不要輕信微信群�����、QQ群或其他社交媒體軟件中傳播的所謂政府主管部門(mén)或金融機(jī)構(gòu)發(fā)布的通知�,應(yīng)通過(guò)官方渠道進(jìn)行核實(shí)。
2.不要從微信群�、QQ群或其他社交媒體軟件的聊天群組中傳播的網(wǎng)絡(luò)鏈接(或二維碼)下載所謂的官方程序。
3.一旦發(fā)現(xiàn)微信��、QQ或其他社交媒體軟件發(fā)生被盜現(xiàn)象����,應(yīng)向親友和所在單位及同事告知相關(guān)情況,并通過(guò)相對(duì)安全的設(shè)備和網(wǎng)絡(luò)環(huán)境修改登錄密碼�,并對(duì)自己常用的計(jì)算機(jī)和移動(dòng)通信設(shè)備進(jìn)行殺毒和安全檢查����,如反復(fù)出現(xiàn)賬號(hào)被盜情況���,應(yīng)在備份重要數(shù)據(jù)的前提下��,考慮重新安裝操作系統(tǒng)和安全軟件并更新到最新版本�����。
4.對(duì)安全性未知的可疑文件,可訪問(wèn)國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)(https://virus.cverc.org.cn)進(jìn)行提交檢測(cè)��。
文章來(lái)源:CVERC-國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心
