这里有久久精品66,欧美 日韩 在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站

                關(guān)于針對我國用戶的“銀狐”木馬病毒出現(xiàn)新變種的預(yù)警報告

    一、相關(guān)病毒傳播案例

    近日,國家計算機病毒應(yīng)急處理中心和計算機病毒防治技術(shù)國家工程實驗室依托國家計算機病毒協(xié)同分析平臺在我國境內(nèi)發(fā)現(xiàn)針對我國用戶的“銀狐”(又名:“游蛇”、“谷墮大盜”等)木馬病毒最新變種。攻擊者通過構(gòu)造財務(wù)、稅務(wù)等主題的釣魚網(wǎng)頁,通過微信群傳播該木馬病毒的下載鏈接。如圖1、圖2所示。

    

                                                                     圖1 釣魚信息及鏈接(1)

    

                                                                     圖2 釣魚信息及鏈接(2)

   用戶點擊上述釣魚鏈接后,釣魚網(wǎng)頁會根據(jù)用戶終端類型進行跳轉(zhuǎn),如果用戶使用手機終端訪問,則會提示用戶使用電腦終端進行訪問,用戶使用電腦終端訪問鏈接后會下載文件名為“金稅四期(電腦版)-uninstall.msi”的安裝包文件或“金稅五期(電腦版)-uninstall.zip”的壓縮包文件(內(nèi)含同文件名的可執(zhí)行程序文件),實際為“銀狐”木馬病毒家族的最新變種程序。如果用戶運行相關(guān)程序文件,將被攻擊者實施遠程控制、竊密、網(wǎng)絡(luò)詐騙等惡意活動并充當(dāng)進一步攻擊的“跳板”。

    二、病毒感染特征

    1. 釣魚信息特征

   釣魚信息可能通過微信群、QQ群等社交媒體或電子郵件發(fā)送,信息通常為犯罪分子偽造的官方通知,主題通常涉及財稅或金融管理等公共管理部門發(fā)布的最新政策和工作通知等,并附所謂的對接相關(guān)工作所需專用程序的下載鏈接。

    2. 文件特征

    1)文件名

    犯罪分子通常會將木馬病毒程序的文件名設(shè)置為與財稅、金融管理部門相關(guān)工作具有顯著關(guān)聯(lián),且對相關(guān)崗位工作人員具有較高辨識度的名稱,如:“金稅四期(電腦版)”、“金稅五期(電腦版)”等,并以此為誘餌欺騙企業(yè)中的財務(wù)管理人員或個體經(jīng)營者。由于目前該木馬病毒程序的變種大多只針對安裝Windows操作系統(tǒng)的傳統(tǒng)PC環(huán)境,犯罪分子也會在文件名中設(shè)置“電腦版”、“PC版”等關(guān)鍵詞以誘導(dǎo)受害用戶在相應(yīng)環(huán)境下安裝。

    2)文件格式

    目前已知的該木馬病毒常用文件格式以MSI安裝包格式和ZIP、RAR等壓縮包格式(內(nèi)含MSI或EXE等可執(zhí)行程序)為主。

    3)文件HASH

    cf8088b59ee684cbd7d43edcc42b2eec

    f3cad147e35f236772b5e10f4292ba6e

    網(wǎng)絡(luò)安全管理員可通過國家計算機病毒協(xié)同分析平臺獲得相關(guān)病毒樣本的詳細信息,如下: 

    https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=cf8088b59ee684cbd7d43edcc42b2eec

    https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=f3cad147e35f236772b5e10f4292ba6e

    3.系統(tǒng)駐留特征 

    木馬病毒被安裝后,會在操作系統(tǒng)中注冊名為“UserDataSvc_[字母與數(shù)字隨機組合]”的系統(tǒng)服務(wù),實現(xiàn)開機自啟動和持久駐留,如圖3所示。

    

                                                                     圖3 注冊系統(tǒng)服務(wù)實現(xiàn)系統(tǒng)持久駐留

    4.網(wǎng)絡(luò)通信特征     

    回聯(lián)地址為:154.**.**.95

    命令控制服務(wù)器(C2)域名為:8848.********.zip

    其中與C2地址的通信內(nèi)容中,會包含受害主機的操作系統(tǒng)信息、用戶名、CPU信息、內(nèi)存信息以及內(nèi)網(wǎng)IP地址等數(shù)據(jù),如下:

   

   三、防范措施

    國家計算機病毒應(yīng)急處理中心提示廣大企事業(yè)單位,特別是從事電商業(yè)務(wù)的中小微企業(yè)以及個體經(jīng)營者和個人網(wǎng)絡(luò)用戶,臨近年末,各類財稅和金融業(yè)務(wù)繁忙,從事相關(guān)業(yè)務(wù)的工作人員務(wù)必提高警惕,防范以計算機病毒為作案工具的電信網(wǎng)絡(luò)詐騙活動。建議廣大用戶采取以下防范措施:

    1.不要輕信微信群、QQ群或其他社交媒體軟件中傳播的所謂政府主管部門或金融機構(gòu)發(fā)布的通知,應(yīng)通過官方渠道進行核實。

    2.不要從微信群、QQ群或其他社交媒體軟件的聊天群組中傳播的網(wǎng)絡(luò)鏈接(或二維碼)下載所謂的官方程序。

    3.一旦發(fā)現(xiàn)微信、QQ或其他社交媒體軟件發(fā)生被盜現(xiàn)象,應(yīng)向親友和所在單位及同事告知相關(guān)情況,并通過相對安全的設(shè)備和網(wǎng)絡(luò)環(huán)境修改登錄密碼,并對自己常用的計算機和移動通信設(shè)備進行殺毒和安全檢查,如反復(fù)出現(xiàn)賬號被盜情況,應(yīng)在備份重要數(shù)據(jù)的前提下,考慮重新安裝操作系統(tǒng)和安全軟件并更新到最新版本。

    4.對安全性未知的可疑文件,可訪問國家計算機病毒協(xié)同分析平臺(https://virus.cverc.org.cn)進行提交檢測。

    本預(yù)警報告得到了北京微步在線科技有限公司、北京神州綠盟科技有限公司、安天科技集團股份有限公司、北京瑞星網(wǎng)安技術(shù)股份有限公司、深信服科技股份有限公司和計算機病毒防治技術(shù)國家工程實驗室和國家計算機病毒協(xié)同分析平臺各共建單位的技術(shù)和信息支持,特此致謝。 

 

绩溪县| 阜新| 旬阳县| 友谊县| 浮梁县| 佛冈县| 新竹市| 岳池县| 鸡西市| 呼玛县| 澎湖县| 赤城县| 侯马市| 枞阳县| 隆回县| 永仁县| 怀远县| 新巴尔虎左旗| 乐陵市| 天长市| 汕尾市| 阳泉市| 罗平县| 潜山县| 二连浩特市| 共和县| 武强县| 奉化市| 咸阳市| 山阳县| 巴里| 新建县| 皮山县| 紫阳县| 科尔| 江油市| 麦盖提县| 方城县| 茂名市| 会昌县| 乐都县|