近期,網(wǎng)絡(luò)安全領(lǐng)域迎來新挑戰(zhàn),國家計算機病毒應(yīng)急處理中心與計算機病毒防治技術(shù)國家工程實驗室聯(lián)合監(jiān)測到一種名為“銀狐”(亦稱“游蛇”、“谷墮大盜”)的木馬病毒變種。該病毒通過精心設(shè)計的釣魚策略,在微信群內(nèi)廣泛傳播,引誘用戶下載惡意鏈接。
“銀狐”病毒的四大顯著特征,為公眾防范提供了重要線索。首先,其釣魚信息偽裝成官方通知,主題緊扣財稅、金融管理等熱點,附有下載鏈接,通過社交媒體和電子郵件廣泛散布。這些信息看似權(quán)威,實則暗藏玄機,誘導(dǎo)用戶點擊。
在文件特征方面,病毒文件名常被設(shè)計成與財稅、金融管理部門工作緊密相關(guān)的詞匯,以迷惑目標(biāo)用戶。文件格式則多為MSI安裝包、ZIP或RAR壓縮包,這些格式在日常辦公中極為常見,降低了用戶的警惕性。病毒還具備特定的文件HASH值,成為識別其身份的關(guān)鍵線索。
系統(tǒng)駐留是“銀狐”病毒的另一大特征。一旦安裝成功,病毒會在操作系統(tǒng)中注冊名為“UserDataSvc_[隨機字母數(shù)字組合]”的系統(tǒng)服務(wù),確保開機自啟動和長期潛伏,難以被用戶察覺。
網(wǎng)絡(luò)通信特征揭示了病毒的遠(yuǎn)程控制機制。病毒通過特定的回聯(lián)地址(如154..95)與命令控制服務(wù)器(C2)通信,傳輸受害主機的敏感信息,包括操作系統(tǒng)、用戶名、CPU信息、內(nèi)存信息及內(nèi)網(wǎng)IP地址等。同時,域名如8848.*.zip也被用于病毒傳播和控制。
面對這一新型威脅,公眾需提高警惕,采取有效防范措施。切勿輕信微信群、QQ群等社交媒體中的所謂官方通知,應(yīng)通過正規(guī)渠道核實信息。避免從不明鏈接或二維碼下載程序,以免中招。一旦發(fā)現(xiàn)社交媒體賬號被盜,應(yīng)立即通知相關(guān)平臺,修改密碼,并對設(shè)備進(jìn)行全面殺毒和安全檢查。對于可疑文件,可提交至國家計算機病毒協(xié)同分析平臺進(jìn)行專業(yè)檢測。
