207期报告汇总
安天发布《Trik 僵尸网络变种分析报告》
 
     近日,安天 CERT 在梳理网络安全事 件时发现一个名为 Trik 的僵尸网络变种。 目前,在全球有近 50 万台受感染的计算 机。该僵尸网络家族活跃了近 10 年,早期 传播方式包括可移动存储介质和即时通讯 软件,近期发现该僵尸网络变种传播方式 为垃圾邮件。Trik 主要目的是以传播勒索 软件和挖矿木马获利。

      Trik 运 行 后, 在 受 感 染 计 算 机 % AppData % 目 录 中 创 建 winsvcs.txt 文 件, 创建注册表保证开机自启动。该僵尸网络 变种包含一个微型组件,该组件利用 SMB协议和硬编码的用户名和口令列表,尝 试连接到开启 139 端口的远程计算机并将 Trik 复制到其中。Trik 使用远程计算机上 的 Windows 服务控制管理器启动 SMB 组 件进程,检查是否存在 winsvcs.txt 文件, 从而确定是否连接 C2 服务器下载并执行 所传播的恶意程序。

      安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保所有的计算机在使用远程桌面服 务时采取 VPN 连接等安全方式,如果业 务上无需使用远程桌面服务,建议将其关 闭。

      目前,安天追影产品已经实现了对该 类僵尸网络的鉴定;安天智甲已经实现了 对该僵尸网络的查杀。