霍州市融媒体中心信息网网 11 月 25 日消息,近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室通过监测发现木马病毒最新变种 ——“银狐”(霍州市融媒体中心信息网网注:又名“游蛇”、“谷堕大盗”)。攻击者虚构财务、税务等主题的钓鱼网页,通过微信群传播病毒下载链接。
病毒感染的 4 大特征
钓鱼信息特征:钓鱼信息可通过『社交媒体』或电子邮件发送,信息通常为犯罪分子伪造的官方通知,主题通常涉及财税或金融管理等最新政策和工作通知等,并附下载链接。
文件特征:
文件名:犯罪分子通常会将木马病毒程序的文件名设置为与财税、金融管理部门相关工作具有显著关联,且对相关岗位工作人员具有较高辨识度的名称。
文件格式:目前已知的该木马病毒常用文件格式以 MSI 安装包格式和 ZIP、RAR 等压缩包格式为主。
文件 HASH:cf8088b59ee684cbd7d43edcc42b2eec,f3cad147e35f236772b5e10f4292ba6e。
系统驻留特征:木马病毒被安装后,会在操作系统中注册名为“UserDataSvc_[字母与数字随机组合]”的系统服务,实现开机自启动和持久驻留。
网络通信特征:回联地址为:154.**.**.95 命令控制『服务器』(C2),域名为:8848.*********.zip。其中与 C2 地址的通信内容中,会包含受害主机的操作系统信息、用户名 CPU 信息、内存信息以及内网 IP 地址等数据。
防范措施:
不要轻信微信群、QQ 群或其他『社交媒体』软件中传播的所谓政府主管部门或金融机构发布的通知,应通过官方渠道进行核实。
不要从微信群、QQ 群或其他『社交媒体』软件的聊天群组中传播的网络链接(或二维码)下载所谓的官方程序。
一旦发现『社交媒体』软件被盗,应告知相关情况,并修改登录密码,并对设备进行杀毒和安全检查。
对安全性未知的可疑文件,可访问国家计算机病毒协同分析平台进行提交检测。
