關(guān)于針對(duì)我國(guó)用戶的“銀狐”系列木馬病毒攻擊活動(dòng)的預(yù)警報(bào)告

一、基本情況

近日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室依托國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)（https://virus.cverc.org.cn）捕獲多個(gè)文件名中包含“內(nèi)部調(diào)查結(jié)果”“違紀(jì)名單”“違紀(jì)通報(bào)信息”“裁員補(bǔ)償”等詞匯的惡意程序，這些惡意程序表面上偽裝成快捷方式、文件夾、文檔文件或壓縮包文件，實(shí)際為針對(duì)Windows平臺(tái)用戶的遠(yuǎn)程控制木馬病毒。經(jīng)分析，發(fā)現(xiàn)這些木馬病毒均為針對(duì)我國(guó)用戶的“銀狐”(又名“游蛇”“谷墮大盜”“UTG－Q－1000”“Silver Fox”等）木馬病毒攻擊活動(dòng)的最新變種。如果用戶不慎運(yùn)行相關(guān)惡意程序文件，將被攻擊者實(shí)施遠(yuǎn)程控制、竊密等惡意操作，并可能被網(wǎng)絡(luò)犯罪分子利用充當(dāng)進(jìn)一步實(shí)施電信網(wǎng)絡(luò)詐騙活動(dòng)的“跳板”。

圖1 攻擊活動(dòng)過程示意圖

二、病毒特征

1. 文件名特征

本次發(fā)現(xiàn)的木馬病毒新變種繼續(xù)采用釣魚欺詐手段，大量采用人事業(yè)務(wù)相關(guān)的誘導(dǎo)性文件名，文件名以“XX季度違紀(jì)名單”“通報(bào)人員信息”“裁員名單”“補(bǔ)償方案”等為主，并將圖標(biāo)偽裝成文件夾、快捷方式、回收站等，并添加“pdf”后綴迷惑用戶。如圖2所示。

圖2 相關(guān)病毒樣本

2. 文件操作特征

木馬病毒運(yùn)行后，會(huì)在“C:\Program Files\Internet Explorer\”文件夾下投放下一步所需的載荷文件。其中關(guān)鍵文件log.dll為下一步運(yùn)行的加載器，該dll文件通過白文件installer.exe進(jìn)行加載，如圖3所示。

圖3 投放下一階段惡意載荷

3. 網(wǎng)絡(luò)通信特征

本次發(fā)現(xiàn)的病毒樣本具有相似的網(wǎng)絡(luò)通信特征，回聯(lián)地址URL特征如下所示：

http://[域名]:8880/

http://[域名]:8880/getinstall64

單位網(wǎng)絡(luò)安全管理員可通過附錄獲取更多相關(guān)特征，并可通過國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)（https://virus.cverc.org.cn）查詢相關(guān)病毒樣本的詳細(xì)信息。

三、防范措施

“銀狐”系列木馬病毒攻擊活動(dòng)與電信網(wǎng)絡(luò)詐騙活動(dòng)聯(lián)系密切，長(zhǎng)期將我國(guó)用戶作為攻擊目標(biāo)，具有變種速度快、隱蔽性強(qiáng)等特點(diǎn)。本次發(fā)現(xiàn)的病毒木馬攻擊活動(dòng)的攻擊目標(biāo)較為廣泛，重點(diǎn)針對(duì)具有一定規(guī)模的組織機(jī)構(gòu)工作人員，特別是人事相關(guān)業(yè)務(wù)工作人員，主要目的仍然是通過木馬病毒控制大量受害者主機(jī)，竊取受害企業(yè)敏感數(shù)據(jù)和公民個(gè)人信息，進(jìn)而實(shí)施勒索或欺詐。建議采取以下綜合防范措施：

01

在使用即時(shí)通訊工具（如：微信、QQ、釘釘、飛書等）或電子郵件處理工作事務(wù)期間，警惕新增臨時(shí)工作群組和電子郵件中傳播的“違紀(jì)”“裁員”等相關(guān)主題文件，拒絕點(diǎn)擊陌生人發(fā)送的文件，對(duì)本單位或外單位同事發(fā)送的相關(guān)文件應(yīng)與其本人或正式渠道核實(shí)。

02

用戶可將可疑的文檔文件、可執(zhí)行文件、壓縮包文件或解壓后的可疑文件先行上傳至國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)（https://virus.cverc.org.cn）進(jìn)行安全檢測(cè)，并保持防病毒軟件實(shí)時(shí)監(jiān)控功能開啟，將計(jì)算機(jī)操作系統(tǒng)和防病毒軟件更新到最新版本。

03

一旦發(fā)現(xiàn)本人即時(shí)通訊工具或電子郵件發(fā)生被盜用現(xiàn)象，應(yīng)立即停止使用可能感染病毒的計(jì)算機(jī)設(shè)備，將其斷開網(wǎng)絡(luò)鏈接，并向單位網(wǎng)絡(luò)管理員、相關(guān)同事和親友告知相關(guān)情況，在備份重要數(shù)據(jù)的前提下，對(duì)相關(guān)計(jì)算機(jī)設(shè)備進(jìn)行殺毒和安全檢查，更換常用口令且應(yīng)具有較高強(qiáng)度。

本預(yù)警報(bào)告得到了安天科技集團(tuán)股份有限公司、北京瑞星網(wǎng)安技術(shù)股份有限公司、奇安信科技集團(tuán)股份有限公司、北京神州綠盟科技有限公司和計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室以及國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)各共建單位的技術(shù)和信息支持，特此致謝。

來(lái)源：國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心