新闻详情
新闻搜索
火绒 安全 请注意,微信群聊再现“银狐”病毒新变种 四川 成都 科汇科技 IT服务商
最近,火绒威胁情报系统监测到,又有后门病毒伪装成“企业补贴政策名单.msi”“12月稽查税务.msi”等诱导性文件在微信群聊中相互传播。用户下载运行该文件后,病毒会被激活并释放多个恶意文件,添加计划任务,远程控制受害者的终端等,对用户构成较大的安全威胁。
经过火绒安全工程师确认,该后门病毒为“银狐”木马的新变种,具有更强的对抗性和隐蔽性。溯源排查发现,该类病毒近期伪装的相关文件名如下:
此前,火绒已披露“银狐”木马呈现变种增多趋势,且采取更多方式对抗安全软件的查杀。火绒工程师再次提醒大家时刻注意群聊中发送的陌生文件(后缀.msi/.rar/.exe/.chm/.bat/.vbs),如有必要先使用安全软件扫描后再使用。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
一样本分析
第一阶段:
以 "企业补贴政策名单.msi" 为例,用户双击该 msi 文件进行安装后其会执行一系列相关进程,其中以 "CNM.exe" 和 "erp.exe" 为执行主体: