161期报告汇总
安天发布《AgentTesla 窃密木马样本分析报告》
 
     近日,安天 CERT(安全研究与应急处 理中心)在梳理网络安全事件时发现一种名 为 AgentTesla 窃密木马样本开始活跃。该恶 意代码使用 .NET 语言开发,给样本的调试 和分析带来了一定的困难,它可以自定义生 成木马窃取信息,包括键盘记录、截屏、剪 贴板记录以及摄像头图像等。

     gentTesla 窃密木马可以从电脑上提取 还原多种登录信息缓存,包括浏览器中保存 的网站账号密码,邮件客户端中保存的密码, FTP 工具、下载器中保存的密码等。它可以 自定义木马将窃取到的信息回传给木马传播 者的方式,包括网络接口方式、邮件方式以 及 FTP 方式。在 FTP 方式下,工具使用者可以指定上传信息时用到的 FTP 地址、用户名 和密码。在邮件方式下,工具使用者可以指 定邮箱服务器地址、用户名和密码。如果使 用者采用网络接口方式,则需要从工具官网 下载一套完整的管理页面,并部署在自己的 网站上。然后,使用者可以在工具中指定对 应的网址作为 C&C 服务器,生成的木马运行 后会连接该服务器并接收相应的指令,这些 指令包括 uninstall、update、info、webcam、 screenshots、keylog、passwords 等。

     安天 CERT 提醒广大政企客户,要提高 网络安全意识,在日常工作中要及时进行系 统更新和漏洞修复,不要随意下载非正版的 应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠,更加不要随 意点击或者复制邮件中的网址,不要轻易下 载来源不明的附件,发现网络异常要提高警 惕并及时采取应对措施,养成及时更新操作 系统和软件应用的好习惯。确保没有任何计 算机运行直接连接到 Internet 的远程桌面服 务,而是将运行远程桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也 要做好文件的备份,以防止勒索软件加密重 要文件后无法恢复。

      目前,安天追影产品已经实现了对该 类恶意代码的检出。