国家计算机病毒应急处理中心通过对互联网的监测,发现“Smokeloader”的僵尸网络出现了新型变种。Smokeloader僵尸网络从2011年开始在黑客论坛出售,一直处于更新状态。其通常使用垃圾邮件传播,邮件附件携带恶意宏文档,文档启用宏后下载Smokeloader僵尸网络。本次发现的Smokeloader僵尸网络新变种最早出现在2020年6月。Smokeloader的最新变种使用多种规避检测和对抗分析的技术,如运行环境的检测、花指令、代码自解密、反虚拟机等。运行成功后将自身添加为计划任务,保证自身的持久化。获取系统基本信息并进行加密。Smokeloader连接网络将信息发送到攻击者指定的服务器,接收返回信息,下载插件并注入内存中运行,插件功能主要包括窃取网站信息、收集邮件信息、窃取虚拟货币信息、监控浏览器、键盘记录、下载Team Viewer等三种远程控制软件进行隐蔽控制等。此外Smokeloader还会下载远程控制程序、挖矿木马和勒索软件。 建议我国用户提高网络安全意识,及时进行系统更新和漏洞修复,安装杀毒软件并将病毒库更新,及时备份重要文件,文件备份应与主机隔离;尽量避免打开社交媒体分享的不明来源链接,将信任网站添加书签并通过书签访问;避免使用弱口令或统一的口令;接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件,避免轻易下载来源不明的附件。
|