近期,腾讯电脑管家接到用户求助,称自己收到网友发来的“会所会员资料”消息,出于一时好奇,便点击打开了其中以.xlsx为后缀的文档,发现并无“猛料”,自己却落入了不法黑客的套路之中。
(图:伪装会所会员资料展示)
腾讯电脑管家工程师近日监测发现一款远程控制木马变种“大灰狼”,正在伪装成“会所成员联系方式”的虚假文件传播。经分析,该木马变种由“XINKE”木马团伙利用多个钓鱼文档及Flash漏洞挂马传播,中毒电脑会被攻击者完全控制。目前,腾讯电脑管家已全面拦截并查杀该木马变种,提醒广大用户保持安全警惕,切勿点击观看该类虚假文档以防中招。
(图:腾讯电脑管家全面拦截并查杀该木马变种)
据腾讯电脑管家安全专家介绍,该变种控制木马善于伪装,利用多种欺骗手段隐藏自己,令普通用户难觅踪迹。首先该木马会伪装成图片、ppt文档、银行账单等形式,试图诱导用户点击观看,一旦用户不慎点击观看,不法黑客就会利用程序调用病毒组件,将攻击程序隐藏在图片文件中再解密执行。
(图:伪装杜撰会员会所资料展示)
除此以外,攻击者还使用各种新技术对抗杀软,以此躲避查杀。该木马往往会从一系列下载的图片中解密出病毒执行模块,检测当前系统是不是处于调试环境,如果是,病毒程序就停止后续动作。如果是普通用户环境,就会安装远程控制软件,实现对目标计算机的完全控制。
事实上,臭名昭著的“XINKE”木马团伙已是病毒木马黑产惯犯,此次使用的远程控制木马“大灰狼”也是黑产圈较为流行的远控工具。值得注意的是,该团伙经常使用漏洞、钓鱼文档等手段传播木马,同时经营外挂、私服、流量劫持、后门安装等非法交易,严重威胁普通用户的信息财产安全。
(图:“XINKE”木马团伙家族图谱)
据有关报道,目前该木马的原始作者已经去世,但相关代码已流落黑产圈开源共享,不同的病毒木马团伙会对其定制改造后发布诸多变种肆意作恶。对此,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大用户,建议用户升级Adobe Flash Player到最新版本,避免遭遇Flash漏洞攻击;切勿轻信网上流传的各种拖库资料、会所档案,一旦下载运行会有较大的中度风险;同时保持腾讯电脑管家等主流杀毒软件实时开启并运行状态,可有效拦截各类危险程序。
除此以外,马劲松建议修改windows资源管理器显示选项,关闭“隐藏已知文件类型的扩展名”功能,可快速辨别是否有文件后缀,例如文档图标用PPT、PDF、XLS,后辍却是EXE的话,基本可以断定为恶意程序。