木馬病毒最新變種“銀狐”現(xiàn)身，通過微信群傳播病毒下載鏈接

IT之家 11 月 25 日消息，近日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室通過監(jiān)測(cè)發(fā)現(xiàn)木馬病毒最新變種 ——“銀狐”（IT之家注：又名“游蛇”、“谷墮大盜”）。攻擊者虛構(gòu)財(cái)務(wù)、稅務(wù)等主題的釣魚網(wǎng)頁(yè)，通過微信群傳播病毒下載鏈接。

病毒感染的 4 大特征

釣魚信息特征：釣魚信息可通過社交媒體或電子郵件發(fā)送，信息通常為犯罪分子偽造的官方通知，主題通常涉及財(cái)稅或金融管理等最新政策和工作通知等，并附下載鏈接。

文件特征：

• 文件名：犯罪分子通常會(huì)將木馬病毒程序的文件名設(shè)置為與財(cái)稅、金融管理部門相關(guān)工作具有顯著關(guān)聯(lián)，且對(duì)相關(guān)崗位工作人員具有較高辨識(shí)度的名稱。

• 文件格式：目前已知的該木馬病毒常用文件格式以 MSI 安裝包格式和 ZIP、RAR 等壓縮包格式為主。

• 文件 HASH：cf8088b59ee684cbd7d43edcc42b2eec，f3cad147e35f236772b5e10f4292ba6e。

系統(tǒng)駐留特征：木馬病毒被安裝后，會(huì)在操作系統(tǒng)中注冊(cè)名為“UserDataSvc_[字母與數(shù)字隨機(jī)組合]”的系統(tǒng)服務(wù)，實(shí)現(xiàn)開機(jī)自啟動(dòng)和持久駐留。

網(wǎng)絡(luò)通信特征：回聯(lián)地址為：154.**.**.95 命令控制服務(wù)器（C2），域名為：8848.*********.zip。其中與 C2 地址的通信內(nèi)容中，會(huì)包含受害主機(jī)的操作系統(tǒng)信息、用戶名 CPU 信息、內(nèi)存信息以及內(nèi)網(wǎng) IP 地址等數(shù)據(jù)。

防范措施：

• 不要輕信微信群、QQ 群或其他社交媒體軟件中傳播的所謂政府主管部門或金融機(jī)構(gòu)發(fā)布的通知，應(yīng)通過官方渠道進(jìn)行核實(shí)。

• 不要從微信群、QQ 群或其他社交媒體軟件的聊天群組中傳播的網(wǎng)絡(luò)鏈接（或二維碼）下載所謂的官方程序。

• 一旦發(fā)現(xiàn)社交媒體軟件被盜，應(yīng)告知相關(guān)情況，并修改登錄密碼，并對(duì)設(shè)備進(jìn)行殺毒和安全檢查。

• 對(duì)安全性未知的可疑文件，可訪問國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)進(jìn)行提交檢測(cè)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。