1、 基本情况
“银狐”远控木马是一款功能强大的远程控制的控制恶意软件,攻击者可通过改木马对受感染设备进行远程控制,窃取敏感信息,执行恶意代码等。
近期多所高校网络安全检测发现,银狐木马正通过伪装成“翻墙”软件(以“快连 VPN”为代表)的方式向高校师生群体传播。高校师生由于学术研究需要,对境外学术资源访问需求较高,加之部分师生网络安全意识相对薄弱,成为银狐木马的攻击目标。
鉴于该木马影范围比较大,建议广大用户尽快做好自查及防护
2、 漏洞详情
"银狐"远控木马主要通过以下方式传播:
1.软件捆绑:将木马捆绑在看似合法的软件中,用户下载安装后感染木马。
2.钓鱼邮件:发送包含恶意附件或链接的钓鱼邮件,用户点击后感染木马。
3.恶意网站:在恶意网站上放置木马程序,用户访问网站后自动下载感染木马。
攻击者感染"银狐"远控木马后,可实现以下功能:
1.远程控制:对受感染设备进行远程桌面控制,查看设备屏幕、操作设备等。
2.文件操作:对受感染设备上的文件进行复制、删除、修改等操作。
3.数据窃取:窃取受感染设备上的敏感信息,如账号密码、银行卡信息等。
4.恶意代码执行:在受感染设备上执行恶意代码,如挖矿、发起 DDoS攻击等。
3、 影响范围
受影响的设备主要包括:-安装了"翻墙"软件(快连 VPN)的高校设备-下载了疑似包含"银狐"远控木马的软件的设备-点击了包含"银狐"远控木马的钓鱼邮件附件或链接的设备-访问了包含"银狐"远控木马的恶意网站的设备
4、 处置建议
为防范"银狐"远控木马的攻击,建议广大用户采取以下措施:
1.核查设备访问恶意 IP 情况:对于有过恶意 IP 请求的设备及时开展现场核查。
2.定期查看流量及主机日志:检查是否有异常流量及行为。
3.卸载可疑的"翻墙"软件:从官方渠道下载合法合规的软件。
4.安装杀毒软件并及时更新病毒库:对受感染设备进行全面查杀。
5.加强员工安全意识培训:提高员工对钓鱼邮件、恶意网站等的识别能力。
5、参考链接
1. https://www.cert.org.cn/publish/main/index.html
2.https://www.itsec.gov.cn/
3. https://ti.qianxin.com/
4.https://tix.qq.com/