近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室通过监测发现木马病毒最新变种 ——“银狐”(注:又名“游蛇”、“谷堕大盗”)。攻击者虚构财务、税务等主题的钓鱼网页,通过微信群传播病毒下载链接。
病毒感染的 4 大特征
钓鱼信息特征:钓鱼信息可通过社交媒体或电子邮件发送,信息通常为犯罪分子伪造的官方通知,主题通常涉及财税或金融管理等最新政策和工作通知等,并附下载链接。
文件特征:
文件名:犯罪分子通常会将木马病毒程序的文件名设置为与财税、金融管理部门相关工作具有显著关联,且对相关岗位工作人员具有较高辨识度的名称。
文件格式:目前已知的该木马病毒常用文件格式以 MSI 安装包格式和 ZIP、RAR 等压缩包格式为主。
文件 HASH:cf8088b59ee684cbd7d43edcc42b2eec,f3cad147e35f236772b5e10f4292ba6e。
系统驻留特征:木马病毒被安装后,会在操作系统中注册名为“UserDataSvc_[字母与数字随机组合]”的系统服务,实现开机自启动和持久驻留。
网络通信特征:回联地址为:154.**.**.95 命令控制服务器(C2),域名为:8848.*********.zip。其中与 C2 地址的通信内容中,会包含受害主机的操作系统信息、用户名 CPU 信息、内存信息以及内网 IP 地址等数据。
-END-