176期报告汇总
安天发布《JAVA-VBS 联合木马样本分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现 一种将 java 和 vbs 结合起来,使用户感染 Adwind 远控木马和 Houdini VBS 蠕虫的新 型病毒。
这种木马是一个 .jar 文件,通过钓鱼 邮件的附件进行传播。当木马运行后,首 先会搜索资源节,在用户目录释放一个 vbs 脚本,这个脚本中包含一大段 Base64 编码的数据。这段数据经过解码后,会 在 %appdata% 目 录 下 转 换 生 成 ntfsmgr. jar。ntfsmgr.jar 的 主 要 作 用 是 在 %temp% 目录下释放一个随机命名的 .class 文件, 该文件是 Adwind 远控的真正后门,它会 记录用户按键、修改和删除文件、下载执行其他恶意软件、屏幕截图、访问摄像 头、控制鼠标键盘等等。另外,先前释放 的 vbs 脚本除了让用户感染 Adwind 木马 外,还会在 %appdata% 下释放另一个随机 命名的 vbs 脚本,该脚本会将自身解码为 Houdini VBS 蠕虫病毒,该病毒可以使攻 击者在用户机器上下载并执行文件、运行 指令、上传文件、删除文件或文件夹、终 止进程等。在最近的恶意活动中我们发现, 攻击者为了提高成功率,常常会将两种功 能相似的恶意软件结合起来使用。
安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。