近期,網(wǎng)絡(luò)安全領(lǐng)域迎來(lái)新挑戰(zhàn),國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心與計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室聯(lián)合監(jiān)測(cè)到一種名為“銀狐”(亦稱“游蛇”、“谷墮大盜”)的木馬病毒變種。該病毒通過(guò)精心設(shè)計(jì)的釣魚(yú)策略,在微信群內(nèi)廣泛傳播,引誘用戶下載惡意鏈接。
“銀狐”病毒的四大顯著特征,為公眾防范提供了重要線索。首先,其釣魚(yú)信息偽裝成官方通知,主題緊扣財(cái)稅、金融管理等熱點(diǎn),附有下載鏈接,通過(guò)社交媒體和電子郵件廣泛散布。這些信息看似權(quán)威,實(shí)則暗藏玄機(jī),誘導(dǎo)用戶點(diǎn)擊。
在文件特征方面,病毒文件名常被設(shè)計(jì)成與財(cái)稅、金融管理部門(mén)工作緊密相關(guān)的詞匯,以迷惑目標(biāo)用戶。文件格式則多為MSI安裝包、ZIP或RAR壓縮包,這些格式在日常辦公中極為常見(jiàn),降低了用戶的警惕性。病毒還具備特定的文件HASH值,成為識(shí)別其身份的關(guān)鍵線索。
系統(tǒng)駐留是“銀狐”病毒的另一大特征。一旦安裝成功,病毒會(huì)在操作系統(tǒng)中注冊(cè)名為“UserDataSvc_[隨機(jī)字母數(shù)字組合]”的系統(tǒng)服務(wù),確保開(kāi)機(jī)自啟動(dòng)和長(zhǎng)期潛伏,難以被用戶察覺(jué)。
網(wǎng)絡(luò)通信特征揭示了病毒的遠(yuǎn)程控制機(jī)制。病毒通過(guò)特定的回聯(lián)地址(如154..95)與命令控制服務(wù)器(C2)通信,傳輸受害主機(jī)的敏感信息,包括操作系統(tǒng)、用戶名、CPU信息、內(nèi)存信息及內(nèi)網(wǎng)IP地址等。同時(shí),域名如8848.*.zip也被用于病毒傳播和控制。
面對(duì)這一新型威脅,公眾需提高警惕,采取有效防范措施。切勿輕信微信群、QQ群等社交媒體中的所謂官方通知,應(yīng)通過(guò)正規(guī)渠道核實(shí)信息。避免從不明鏈接或二維碼下載程序,以免中招。一旦發(fā)現(xiàn)社交媒體賬號(hào)被盜,應(yīng)立即通知相關(guān)平臺(tái),修改密碼,并對(duì)設(shè)備進(jìn)行全面殺毒和安全檢查。對(duì)于可疑文件,可提交至國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)進(jìn)行專業(yè)檢測(cè)。
