124期报告汇总
安天发布《盗号木马“jLog”分析报告》
近日,安天 CERT(安全研究与应 急处理中心)在梳理网络安全事件时注意 到,一种新型利用 CVE-2017-8759 漏洞 的盗号木马在网络中开始传播,当用户打 开携带有恶意代码的文档时,就会触发漏 洞,联网下载盗号木马源代码并编译运 行。该木马会执行窃取计算机信息,盗取 Firefox、Chrome 浏 览 器 密 码 等 操 作, 对 用户的计算机安全产生了较大的威胁。
“jLog”盗号木马利用 Office 文档作 为传播载体,该文档在打开时会联网请求 一个 png 格式的文件,该 png 文件是一个 精心构造过的用于触发漏洞的文件,其文 件内包含着一段混淆过的 C# 代码,漏洞触发后该段代码被 C# 编译器编译运行, 释放 jar 木马文件,再由 C# 程序运行 jar 木马。该木马的运行需要 Java 环境,依赖 jdk 1.8 版本,也就是说如果 jdk 版本低于 1.8 或没安装 jdk,该木马就运行不起来。由于 Java 的跨平台性,该木马支持 Windows/ SunOS/Nix/Mac 多个操作系统。其运行后 会检测当前木马程序是否需要更新,如果 有更新就运行更新模块。随后会收集计算 机名、当前登录的用户名、国家、cpu 信息、 主板信息、网络 ip 信息、jdk 版本信息、 内存信息、操作系统信息等,并在后台将 这些信息发送到指定邮箱中。还会实现打 开键盘记录器记录键盘操作、截取当前计算机屏幕、修改注册表项实现开机自启等 功能。
安天 CERT 提醒广大网络使用者, 要提高网络安全意识,在日常工作中要及 时进行系统更新和漏洞修复,不要随意下 载非正版的应用软件、非官方游戏、注册 机等。收发邮件时要确认收发来源是否可 靠,更加不要随意点击或者复制邮件中的 网址,不要轻易下载来源不明的附件,发 现网络异常要提高警惕并及时采取应对措 施,养成及时更新操作系统和软件应用的 好习惯。目前,安天追影产品已经实现了 对该类高级威胁的检出。
