銀狐木馬為患已久

自去年開始，銀狐木馬活躍度不斷提高，360安全大腦也發(fā)布了多次銀狐攻擊的預(yù)警。至今年下半年，銀狐已成為國(guó)內(nèi)最為流行的“遠(yuǎn)控與電詐”類木馬。

該木馬常利用微信、釣魚網(wǎng)頁(yè)等方式以虛假的“發(fā)票”、“財(cái)稅”、“人員名單”等相關(guān)信息為幌子進(jìn)行傳播。而這些文件無(wú)論是標(biāo)題還是其偽造的內(nèi)容都極具欺騙性，因此也導(dǎo)致不少用戶中招。

例如下面這個(gè)釣魚網(wǎng)頁(yè)便是偽裝成稅務(wù)稽查通知，誘騙用戶下載其附件并運(yùn)行。該釣魚網(wǎng)頁(yè)具有很大的迷惑性，用戶稍不留神便會(huì)中招。

圖1. 銀狐木馬典型釣魚頁(yè)面?

而銀狐木馬一旦完成對(duì)受害者設(shè)備的感染便會(huì)開啟免殺對(duì)抗機(jī)制，為了能長(zhǎng)期控制用戶電腦開始打起了正規(guī)軟件的主意。通常的病毒木馬，即使能夠成功對(duì)安全軟件實(shí)現(xiàn)免殺，也很快會(huì)被安全公司監(jiān)測(cè)到，進(jìn)而在安全軟件更新升級(jí)后查殺。而銀狐木馬則利用了一些正規(guī)的企業(yè)管理軟件來(lái)實(shí)現(xiàn)在系統(tǒng)中的長(zhǎng)期駐留，比如：ip-guard、固信終端安全、陽(yáng)途終端安全等。

這類軟件本身是用于企業(yè)IT管理使用的，能夠通過(guò)軟件的管控平臺(tái)對(duì)終端設(shè)備進(jìn)行集中管理和運(yùn)行監(jiān)控。木馬利用管控軟件的這一特性，靜默或誘騙用戶安裝其客戶端，并在后臺(tái)對(duì)用戶實(shí)施監(jiān)控和遠(yuǎn)程控制。

同樣也因?yàn)檫@些軟件本身是正規(guī)企業(yè)出品的軟件產(chǎn)品，往往會(huì)被安全軟件列入信任名單，從而不會(huì)被攔截和查殺。此外，此類軟件也具備“自我保護(hù)”能力來(lái)防止被停用或卸載，所以一般用戶即使發(fā)現(xiàn)異常也難以清除。最終，受害用戶便會(huì)在不知不覺的情況下被黑客長(zhǎng)期控制。黑客以受害用戶的設(shè)備作為跳板，進(jìn)一步擴(kuò)散病毒木馬，甚至發(fā)起新一輪的詐騙。我們也收到了一些用戶反饋稱電腦經(jīng)常被黑客控制，而安全軟件卻無(wú)法查殺。

打響銀狐殲滅戰(zhàn)

360安全大腦最新推出了對(duì)此類常被銀狐木馬利用的“管理軟件”的監(jiān)測(cè)功能。一旦發(fā)現(xiàn)異常安裝，便可自動(dòng)對(duì)相應(yīng)軟件進(jìn)行“滅活”及卸載操作。此功能可讓受攻擊設(shè)備迅速脫離黑客控制，徹底解決用戶被長(zhǎng)期控制而無(wú)法查殺的問(wèn)題。因不慎感染了銀狐木馬而被黑客控制的機(jī)器，可以嘗試使用最新版的360安全衛(wèi)士進(jìn)行查殺。

圖2. 360安全衛(wèi)士卸載被銀狐木馬利用的管控軟件?

下面我們以一個(gè)近期收到的受害者反饋情況為例，簡(jiǎn)單展示一下ip_guard遠(yuǎn)控軟件是如何被安裝到用戶機(jī)器上的。

首先銀狐木馬會(huì)通過(guò)微信釣魚攻擊該用戶，誘騙用戶點(diǎn)擊該遠(yuǎn)控木馬。

圖3. 受害用戶被誘騙后運(yùn)行遠(yuǎn)控木馬?

該木馬會(huì)多次嘗試退出360主防，然后釋放ip_guard管控客戶端的靜默安裝包。在完成ip_guard的安裝工作后，黑客就可以遠(yuǎn)程控制受害用戶機(jī)器，甚至對(duì)其進(jìn)行進(jìn)一步的詐騙操作。

圖4. 遠(yuǎn)控木馬長(zhǎng)期駐留系統(tǒng)并伺機(jī)進(jìn)一步發(fā)難?

安全建議

l? 安裝并確保開啟安全軟件，保證其對(duì)本機(jī)的安全防護(hù)；

l? 對(duì)于安全軟件報(bào)毒的程序，不要輕易添加信任或退出安全軟件；

l? 下載軟件安裝包時(shí)要注意下載地址是否正常；

l? 不要輕易下載并運(yùn)行未知程序；

l? 尤其對(duì)財(cái)稅人員的信息安全培訓(xùn)提起重視，加強(qiáng)財(cái)稅人員的信息安全意識(shí)和識(shí)別能力；

l? 對(duì)于發(fā)現(xiàn)微信被異?？刂?，出現(xiàn)自動(dòng)建群發(fā)送消息等問(wèn)題的，盡快安裝360終端安全產(chǎn)品，進(jìn)行掃描查殺。