瑞星捕獲疑似國內(nèi)黑客組織傳播病毒證據(jù)

近日，瑞星威脅情報中心捕獲到疑似國內(nèi)病毒團(tuán)伙利用HFS服務(wù)器傳播病毒的證據(jù)。經(jīng)分析發(fā)現(xiàn)，此次傳播的病毒有數(shù)個，其中點擊量最高的已經(jīng)過萬，病毒不僅會偽裝成游戲，還會釋放后門及遠(yuǎn)控木馬，因此廣大用戶需提高警惕。

圖：病毒團(tuán)伙IP地址下的多個惡意文件

通過瑞星HFS服務(wù)器監(jiān)控平臺可以看出，此次事件中的病毒團(tuán)伙利用的IP地址為：119.91.152.xxx:4442，因此猜測該團(tuán)伙為國內(nèi)組織。而在這個HFS服務(wù)器下，存有多個惡意文件，其中“srys.exe”文件的點擊量已經(jīng)過萬，不止釋放Farfli后門程序，還釋放DarkKomet遠(yuǎn)控木馬。同時，該IP地址下的“夢回沉默M2.exe”、“12_32.exe”和“syswqa.exe”等文件，有的會偽裝成游戲迷惑用戶，有的會訪問惡意地址，而最終均會釋放“srys.exe”程序。

圖：瑞星HFS服務(wù)器監(jiān)控平臺檢測到帶有惡意文件的IP地址

瑞星安全專家介紹，病毒團(tuán)伙是利用HFS服務(wù)器地址傳播惡意程序的，無論是點擊該IP地址下哪個程序，最終都會被指向“srys.exe”，而這個點擊量已經(jīng)過萬的惡意程序，不僅開啟后門程序，還會對受害主機(jī)進(jìn)行控制桌面、記錄鍵盤、截取屏幕、盜取文件及其他遠(yuǎn)程控制等操作。

由于HFS服務(wù)器能夠共享文件，任何人都可以訪問，因此其危害范圍較廣，國內(nèi)用戶應(yīng)提高警惕，加強(qiáng)防范意識，避免受到波及。同時，瑞星安全專家建議廣大用戶做到以下兩點：

1. 部署EDR、NDR類產(chǎn)品。

可利用威脅情報追溯威脅行為軌跡，幫助用戶進(jìn)行威脅行為分析、定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點，幫助企業(yè)更快響應(yīng)和處理。

2. 安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。

殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護(hù)用戶的終端安全。

圖：瑞星ESM防病毒終端安全防護(hù)系統(tǒng)查殺此次事件中的病毒

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）