騰訊電腦管家:“大灰狼”遠控木馬偽裝成“會所會員資料”傳播

近期,騰訊電腦管家接到用戶求助,稱自己收到網(wǎng)友發(fā)來的“會所會員資料”消息,出于一時好奇,便點擊打開了其中以.xlsx為后綴的文檔,發(fā)現(xiàn)并無“猛料”,自己卻落入了不法黑客的套路之中。

騰訊電腦管家:“大灰狼”遠控木馬偽裝成“會所會員資料”傳播

  (圖:偽裝會所會員資料展示)

騰訊電腦管家工程師近日監(jiān)測發(fā)現(xiàn)一款遠程控制木馬變種“大灰狼”,正在偽裝成“會所成員聯(lián)系方式”的虛假文件傳播。經(jīng)分析,該木馬變種由“XINKE”木馬團伙利用多個釣魚文檔及Flash漏洞掛馬傳播,中毒電腦會被攻擊者完全控制。目前,騰訊電腦管家已全面攔截并查殺該木馬變種,提醒廣大用戶保持安全警惕,切勿點擊觀看該類虛假文檔以防中招。

騰訊電腦管家:“大灰狼”遠控木馬偽裝成“會所會員資料”傳播

  (圖:騰訊電腦管家全面攔截并查殺該木馬變種)

據(jù)騰訊電腦管家安全專家介紹,該變種控制木馬善于偽裝,利用多種欺騙手段隱藏自己,令普通用戶難覓蹤跡。首先該木馬會偽裝成圖片、ppt文檔、銀行賬單等形式,試圖誘導(dǎo)用戶點擊觀看,一旦用戶不慎點擊觀看,不法黑客就會利用程序調(diào)用病毒組件,將攻擊程序隱藏在圖片文件中再解密執(zhí)行。

騰訊電腦管家:“大灰狼”遠控木馬偽裝成“會所會員資料”傳播

  (圖:偽裝杜撰會員會所資料展示)

除此以外,攻擊者還使用各種新技術(shù)對抗殺軟,以此躲避查殺。該木馬往往會從一系列下載的圖片中解密出病毒執(zhí)行模塊,檢測當前系統(tǒng)是不是處于調(diào)試環(huán)境,如果是,病毒程序就停止后續(xù)動作。如果是普通用戶環(huán)境,就會安裝遠程控制軟件,實現(xiàn)對目標計算機的完全控制。

事實上,臭名昭著的“XINKE”木馬團伙已是病毒木馬黑產(chǎn)慣犯,此次使用的遠程控制木馬“大灰狼”也是黑產(chǎn)圈較為流行的遠控工具。值得注意的是,該團伙經(jīng)常使用漏洞、釣魚文檔等手段傳播木馬,同時經(jīng)營外掛、私服、流量劫持、后門安裝等非法交易,嚴重威脅普通用戶的信息財產(chǎn)安全。

騰訊電腦管家:“大灰狼”遠控木馬偽裝成“會所會員資料”傳播

  (圖:“XINKE”木馬團伙家族圖譜)

據(jù)有關(guān)報道,目前該木馬的原始作者已經(jīng)去世,但相關(guān)代碼已流落黑產(chǎn)圈開源共享,不同的病毒木馬團伙會對其定制改造后發(fā)布諸多變種肆意作惡。對此,騰訊安全反病毒實驗室負責(zé)人、騰訊電腦管家安全專家馬勁松提醒廣大用戶,建議用戶升級Adobe Flash Player到最新版本,避免遭遇Flash漏洞攻擊;切勿輕信網(wǎng)上流傳的各種拖庫資料、會所檔案,一旦下載運行會有較大的中度風(fēng)險;同時保持騰訊電腦管家等主流殺毒軟件實時開啟并運行狀態(tài),可有效攔截各類危險程序。

除此以外,馬勁松建議修改windows資源管理器顯示選項,關(guān)閉“隱藏已知文件類型的擴展名”功能,可快速辨別是否有文件后綴,例如文檔圖標用PPT、PDF、XLS,后輟卻是EXE的話,基本可以斷定為惡意程序。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2019-01-23
騰訊電腦管家:“大灰狼”遠控木馬偽裝成“會所會員資料”傳播
近期,騰訊電腦管家接到用戶求助,稱自己收到網(wǎng)友發(fā)來的“會所會員資料”消息,出于一時好奇,便點擊打開了其中以.xlsx為后綴的文檔,發(fā)現(xiàn)并

長按掃碼 閱讀全文