网站首页/电脑学习列表/内容

360安全卫士伪装成Telegram通讯软件安装包攻击病毒木马_病毒安全_

电脑学习2023-07-10阅读
随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。

最近,360 Security Guard团队收到了用户的反馈,称它从Discord下载的Telegram通信软件被怀疑是木马病毒,导致文件下载,聊天,键盘输入和其他操作。经过及时的响应和持续的跟进,360安全卫队终于发现了一个伪装成Telegram通信软件安装包进行攻击的病毒木马,并根据传播方式将其命名为FakeTelegram。

高度隐蔽地穿着电报背心

据报道,这种新型木马将下载合法的Telegram安装包以进行安装以掩盖黑暗中的恶意活动,并通过RDP服务驻留,然后等待有机会启动长期后门程序,记录键盘输入,扫描浏览器密码等。操作方面,潜在威胁很大。但是,用户无需太担心,只需及时下载并安装360 Security Guard即可监视和杀死该木马。

木马病毒

之所以将FakeTelegram称为巨大威胁,主要是基于其通信渠道的特殊性。根据360 Security Brain的监视结果,该木马托管在Discord CDN服务器上。 Discord是一种主要面向游戏玩家的流行聊天和通信软件,并且用户数量逐年增加。而且,由于上传到Discord的附件可以由每个人下载,因此用户之间的文件共享和传输快速便捷,这也引起了网络分子的关注。接下来是,Discord的CDN服务器上托管了大量恶意软件,以提供木马进行远程下载。

高级攻击防御很难隐藏和隐藏

木马病毒_查杀木马病毒_查杀木马病毒软件

在360 Security Brain监视和记录的攻击过程中,将从链接下载的“安装包”用C#语言编写,并通过程序图标伪装成Telegram安装程序的32位文件。为了更好地伪装自己,Telegram合法软件签名Telegram FZ-LLC也被盗,但是从文件属性可以看出,该签名实际上是无效的。为了避免检测,程序中的大量敏感字符串也在运行时进行了Base64编码和解码。

木马病毒

此外,伪造的安装程序Trojan还将获取本地计算机的MAC地址,并匹配其携带的地址库(总共包含13,345个MAC地址)。如果在列表中,它将不会被感染。为了避免重复感染,该程序还将通过确认文件%LocalAppData%\ ASUNCB-dcBdklMsBabnDBlU的存在来确定当前计算机是否已被感染。如果确认已被感染,它将退出并自行删除,否则将创建文件并继续执行后续操作。然后访问URL hxxps:///确认网络可用,否则继续等待直到访问响应成功。

木马病毒

为使攻击过程顺利进行,木马通过修改注册表项值来降低系统的防御能力,从而使用户不知道攻击过程。然后从Telegram官方站点将普通的Telegram安装程序下载到目录%LocalAppData%,以管理员权限执行合法的安装程序,并完成安装程序包的原始工作。最后,创建两个bat文件%TEMP%\\ Action.bat和%TEMP%\\ Remove.bat,编写批处理命令并执行脚本。 Action.bat执行后续的攻击过程,Remove.bat完成自我删除。

秘密加载后门木马具有高度威胁

在这些脚本中,Get-Content.ps1作为最后执行的脚本,负责完成后门程序的发布和常驻操作。首先,脚本判断当前脚本执行环境是否具有管理员权限,如果有,则执行后续操作,否则,请尝试以管理员身份重新执行start.vbs。此外,该脚本将尝试绕过系统的UAC保护。成功绕过保护后,脚本准备释放后门dll,并且涉及的服务是termservice。

启动TermService服务后,将加载名为ServHelper的后门木马。该木马使用Delphi语言开发,通常为dll形式,并与PECompact打包在一起,以通过劫持RDP服务来完成其在受害者计算机上的驻留。此攻击释放的Trojan文件中的大多数敏感字符串都已加密,并且解密密钥为“ RSTVWVDJ”。

执行后,ServHelper将连接到C2:

hxxps:///figjair/b.php,根据收到的命令执行相应的操作。它总共支持32条命令:包括用户创建,文件下载,远程控制工具配置,键盘录制,会话通道控制和其他功能。解密后的字符串包含各种命令涉及的URL,注册表项,命令行,文件路径等。

木马病毒

有360名警卫用锋利的剑袭击并有目标地杀死

目前,借助360 Security Brain的强大功能,360 Security Guard和其他系列产品可以首先拦截并杀死此类木马威胁。同时,面对不断变化的木马威胁,360 Security Brain还为用户提供了以下安全建议,供用户安全下载:

1.用户在下载和安装软件时,可以先通过官方软件网站和360 Software Manager查找并安装它们,以免因不规则下载站点进行下载而造成恶意捆绑和故障。

2.受蓝屏影响的用户可以及时下载并安装360 Security Guard,以强行杀死此类病毒和木马。

3.提高安全意识,不要随意打开陌生人发送的各种文件。如果需要打开它,则必须验证文件后缀是否与文件名匹配。


本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/shouji/article-370952-1.html


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

……

相关阅读