一、病毒感染特征
1.釣魚主題特征
攻擊者使用的釣魚誘餌主題高度貼合我國社會和經(jīng)濟(jì)活動的周期性事件。結(jié)合第一季度特點(diǎn),攻擊者刻意強(qiáng)調(diào)“企業(yè)所得稅”“第一季度”“稅務(wù)稽查”“匯算清繳”“3.15曝光”“清明節(jié)放假”等關(guān)鍵詞,甚至偽造政府部門通知,借此使?jié)撛谑芎φ咴黾泳o迫感和好奇心從而放松警惕,進(jìn)而下載和運(yùn)行具有迷惑性的木馬病毒文件。
偽造的政府部門通知。 圖片來源:國家計(jì)算機(jī)病毒應(yīng)急處理中心網(wǎng)站
2.病毒文件特征
1)文件名
本次發(fā)現(xiàn)的系列木馬病毒文件名與釣魚信息具有高度一致性。
病毒文件名稱及圖標(biāo)。 圖片來源:國家計(jì)算機(jī)病毒應(yīng)急處理中心網(wǎng)站
2)文件格式
本次發(fā)現(xiàn)的系列木馬病毒與“銀狐”木馬病毒此前的文件格式特點(diǎn)一致,均以RAR、ZIP等壓縮格式為主,但大多數(shù)并未設(shè)置密碼口令,解壓縮后會釋放與壓縮文件同名或相仿的EXE可執(zhí)行程序或動態(tài)鏈接庫(DLL)文件。
3)文件HASH
此次發(fā)現(xiàn)的系列木馬病毒文件HASH列表詳見文末附錄。網(wǎng)絡(luò)安全管理員可通過國家計(jì)算機(jī)病毒協(xié)同分析平臺(virus.cverc.org.cn)獲得相關(guān)病毒樣本的詳細(xì)信息。
3.網(wǎng)絡(luò)通信特征
回聯(lián)地址列表詳見文末附錄內(nèi)容,網(wǎng)絡(luò)安全管理員可根據(jù)相關(guān)特征配置防火墻策略,對異常通信行為進(jìn)行攔截。
4.其他特征
本次發(fā)現(xiàn)的木馬病毒均采用大體積文件、多層加載、反調(diào)試等逃避檢測和對抗分析技術(shù),且復(fù)雜度較高,以試圖拖慢安全軟件和研究人員的整體分析進(jìn)度以及繞過沙箱檢測。
二、主要危害
攻擊者發(fā)動本次系列病毒木馬攻擊活動的主要目的仍然是通過木馬病毒控制大量受害者主機(jī),并竊取相關(guān)單位敏感數(shù)據(jù)和公民個人信息。同時也發(fā)現(xiàn),由于近期我國企事業(yè)單位和個人用戶在人工智能應(yīng)用,特別是人工智能大模型的本地化部署方面的投入大量增加,攻擊者還會針對性的根據(jù)受害主機(jī)的配置情況,投送惡意“挖礦”病毒,盜竊用戶高性能計(jì)算機(jī)的算力“挖掘”比特幣等加密數(shù)字貨幣以非法牟利。
三、防范措施
臨近五一假期,國家計(jì)算機(jī)病毒應(yīng)急處理中心提示廣大企事業(yè)單位和個人網(wǎng)絡(luò)用戶持續(xù)保持針對各類電信網(wǎng)絡(luò)詐騙活動的警惕性和防范意識。結(jié)合本次發(fā)現(xiàn)的系列木馬病毒傳播活動的相關(guān)特點(diǎn),建議廣大用戶采取以下防范措施:
1.不要輕信微信群、QQ群或其他社交媒體軟件中傳播的所謂政府機(jī)關(guān)和公共管理機(jī)構(gòu)發(fā)布的“工作通知”“放假安排”“補(bǔ)貼政策”及相關(guān)工作文件和官方程序(或相應(yīng)下載鏈接和二維碼),應(yīng)通過官方渠道進(jìn)行核實(shí)。
2.針對類似此次傳播的系列木馬病毒,用戶可將壓縮包和解壓后的可疑文件先行上傳至國家計(jì)算機(jī)病毒協(xié)同分析平臺 (virus.cverc.org.cn)進(jìn)行安全性檢測,并保持防病毒軟件實(shí)時監(jiān)控功能開啟,將電腦操作系統(tǒng)和防病毒軟件更新到最新版本。
3.一旦用戶遭遇以下異常狀況,應(yīng)立即主動切斷計(jì)算機(jī)設(shè)備網(wǎng)絡(luò)連接,對重要數(shù)據(jù)進(jìn)行遷移和備份,并對相關(guān)設(shè)備進(jìn)行停用直至通過系統(tǒng)重裝或還原、完全的安全檢測和安全加固后方可繼續(xù)使用。
1)操作系統(tǒng)的安全功能和防病毒軟件在非自主操作情況下被異常關(guān)閉;
2)在排除硬件故障且用戶沒有主動運(yùn)行大型應(yīng)用程序的情況下,電腦的性能突然嚴(yán)重下降且系統(tǒng)資源占用率長時間居高不下;
3)社交媒體或電子郵件等網(wǎng)絡(luò)應(yīng)用程序提示用戶賬戶出現(xiàn)異常登錄、或反復(fù)收到網(wǎng)絡(luò)服務(wù)商發(fā)來的登錄驗(yàn)證碼等異常情況。
4.一旦發(fā)現(xiàn)微信、QQ或其他社交媒體軟件發(fā)生被盜現(xiàn)象,應(yīng)向親友和所在單位同事告知相關(guān)情況,并通過相對安全的設(shè)備和網(wǎng)絡(luò)環(huán)境修改登錄密碼,并對自己常用的計(jì)算機(jī)和移動通信設(shè)備進(jìn)行殺毒和安全檢查,如反復(fù)出現(xiàn)賬號被盜情況,應(yīng)在備份重要數(shù)據(jù)的前提下,考慮重新安裝操作系統(tǒng)和防病毒軟件并更新到最新版本。
附錄
