安全通告
庚子年伊始,2019-nCoV新型冠状病毒疫情的发展牵动着全国各族人民的心,全国各地都在积极应对和严格防控。众所周知,利用时事热点话题进行攻击活动是网络不法分子经常使用的攻击方法。近日,亚信安全就截获了利用此次“新型冠状病毒”疫情发动的网络攻击事件。在此,亚信安全提醒广大用户,在防控新型冠状病毒的同时,也要预防利用此次事件发动的网络攻击活动。
此次攻击活动主要是通过社交网络和论坛进行传播,攻击中使用的文件名通常包含“冠状病毒”、“武汉”、“疫情”等人们关注的热门词汇。其主要恶意行为包括远程控制、信息窃取、删除系统文件和数据,造成系统无法启动或者重要数据丢失。亚信安全将其命名为BKDR_ZEGOST.SM17。疫情期间,为了严格防控,不少企业都采取远程办公的方式。自2月3日以来,亚信安全接到很多用户询问关于远程软件遭遇XRed病毒攻击事件,亚信安全网络监测实验室第一时间对该事件进行调查分析。分析结果显示,远程软件遭遇XRed病毒攻击活动与亚信安全去年12月底发布的“警惕伪装成‘Synaptics触摸板驱动程序’的新型蠕虫病毒”是同一个病毒,该病毒会感染PE文件和XLSM文件,所以正常的远程控制软件也会被感染,亚信安全将Xred病毒命名为Virus.Win32.NAPWHICH.B。亚信安全研究人员对本次攻击活动中截获的部分样本进行详细的分析,与疫情相关的系列病毒按照其功能分为三种类型,分别是破坏数据类型、远控木马类型和诱导点击类型。文件名称:冠状病毒.exe,亚信安全将其检测为Trojan.Win32.CROPER.A。
该病毒文件使用VB编写,主要是利用cmd命令强制删除计算机C盘、D盘以及注册表。程序主要结构如下所示:
恶意行为在窗体Form1的加载函数中,主要内容如下:
文件名称:新型冠状病毒肺炎病例全国已5名患者死亡;警惕!!.exe,亚信安全将其检测为BKDR_ZEGOST.SM17。
该病毒使用VC编写。通过PDB文件路径,研究人员知道该病毒是利用大灰狼远控软件修改而来的,并且主要模块在内存中加载,具体信息如下:
动态分配内存后,将要加载的主要远控模块写入到分配的内存中,然后调用其该DLL的导出函数,执行主要的恶意行为:
将PE数据(DLL文件)写入到分配的地址0x10000000中:
该DLL文件是使用UPX进行压缩的,研究人员将此文件dump出来,命名为dump_dll文件:
将病毒自身复制到C:\Program Files\Hhtzrvi.exe,并为其添加注册表项,进行持久化:
该文件是使用UPX加壳,它是一个伪装成酷狗音乐的DLL库文件,主要功能是进行远程控制以及窃取信息等。
其导出函数在母体文件中被执行,执行主要的恶意功能:
根据其导入函数表,可以看出其核心模块中的主要恶意功能:
与远程服务器交互,发送和接收信息,远程连接的IP地址为香港HK,202.58.1XX.80:5073:
文件名称:逃离武汉.exe,亚信安全将其检测为PUA.Win32.FlyStudio.CGR6。
该文件使用易语言编写,是一个利用肺炎疫情话题骗取点击的程序,属于恶搞类的程序。暂时没有发现其他恶意的行为。
近日,亚信安全也关注到针对日本地区进行的与疫情相关的网络攻击活动,本次进行的攻击活动主要是利用与疫情相关信息的垃圾邮件传播Emotet银行木马。
一旦用户点击邮件中的附件文档,启用宏后,宏代码将会利用PowerShell命令将Emotet有效负载安装在受害者的计算机上,然后进行信息窃取。亚信安全将该病毒家族命名为Trojan.W97M.EMOTET。
亚信安全病毒码版本15.665.60,云病毒码版15.665.71,全球码版本15.667.00已经可以检测,请用户及时升级病毒码版本。
深圳发现今年首例寨卡病例,该旅客从柬埔寨归国!.exe行业热点:
端点之战何以解忧,唯有虚拟补丁
Windows多款操作系统停更!您准备好了吗?
驰援武汉 | 保障火神山医院网络安全,亚信安全在行动!
安全通告:微软曝IE Jscript远程命令执行漏洞,端点安全如何防护?
了解亚信安全,请点击“阅读原文”