191期报告汇总
安天发布《DanaBot 木马变种分析报告》
 
      近日,安天 CERT 在梳理网络安全事 件时发现一个名为 DanaBot 的木马变种程 序,该木马程序通过钓鱼邮件进行传播。 DanaBot 木马主要在澳大利亚、新西兰、 美国和加拿大等国家传播,最近已经蔓延 至欧洲。该钓鱼邮件以核对收费账单为诱 饵,诱使用户打开附件中的 word 并点击文 档中的链接。用户点击该链接后会下载一 个 VBS 脚本,该脚本运行后会在 %TEMP% 目录下释放 DanaBot 下载器并将其注册为 服务。

      DanaBot 木马新变种中加入了勒索 模块,该模块是用 Delphi 编写的名为 crypt.exe 的勒索软件。crypt.exe 执行后会 在 %TEMP% 目 录 下 释 放 一 个 名 为 b.bat 的批处理文件,b.bat 文件主要功能是停止进程、停止服务以及删除卷影副本等。 用户一旦感染 crypt.exe,会导致系统除 Windows 目录外的所有文件被加密。该勒 索软件使用 AES128 算法加密文件,文件 加密后会被追加扩展名 .non。crypt.exe 创 建 名 为 HowToBackFiles.txt 的 勒 索 信, 每 14 分钟创建一次加密任务。安天 CERT 分析人员通过关联分析发现 DanaBot 木 马新变种中的勒索模块是 Blitzkrieg 勒 索 软 件 的 变 种。 国 外 研 究 员 Yaroslav Harakhavik 和 Aliaksandr Chailytko 已 经 开 发 出 了 Blitzkrieg 勒 索 软 件 的 解 密 工 具。 此外 DanaBot 木马还具有以下功能:通过 RDP 或 VNC 提供远程控制、通过 TOR 匿 名网络请求更新、利用 WUSA 漏洞绕过 Windows 用户账户控制(UAC)和从 C&C服务器请求更新或执行命令等。

      安天提醒广大用户,及时备份重要文 件,且文件备份应与主机隔离;及时安装 更新补丁,避免一切勒索软件利用漏洞感 染计算机;收发邮件时要确认收发来源是 否可靠,不要随意点击或者复制邮件中的 网址,不要轻易下载来源不明的附件,发 现网络异常要提高警惕并及时采取应对措 施,养成及时更新操作系统和软件应用的 好习惯。确保所有的计算机在使用远程桌 面服务时采取 VPN 连接等安全方式,如 果业务上无需使用远程桌面服务,建议将 其关闭。

      目前,安天追影产品已经实现了对该 类木马的鉴定;安天智甲已经实现了对该 木马的查杀。