sechub官方2023-11-10文章来源:SecHub网络安全社区
我司近期接到多个合作伙伴来电,表示近期财务人员受到远控木马攻击,在微信群中发送名为"各企业处罚名单列表.exe"的文件,部分财务人员主机被控制并被攻击者利用来进行借款和诈骗,该木马目前已在财务税务相关群聊内大量传播,我司派出人员进行了数次应急响应排查,目前已掌握木马情况。
微信群里转发的名为:“各企业处罚名单列表.exe”的文件经我司专业人员排查,已经确认为远程控制木马,且该木马具有一定的绕过个人版杀毒软件能力。
通过该木马可以在无感知的情况下窃取企业机密文件,并对局域网内其他人员电脑横向渗透植入木马,等时机成熟可能会对所有控制的电脑所有文件进行加密并勒索。因此请务必引起重视!
1、 建议所有人员初步打开电脑C盘->用户->公用 这个文件夹下,查看是否存在“各企业处罚名单列表.exe”文件,或者其他可疑、陌生的"xxxx.exe"文件,如果存在很有可能已被植入远程木马,建议将电脑断开网络,随后联系专业人员进行处置。
2、 如果C盘->用户->公用没有这个文件,但是你跟发送木马的人在同一个微信群聊,微信会自动下载文件并保存,需要下载everything工具搜索:各企业处罚,查看电脑上微信聊天记录内是否存在,如果存在,千万不要双击运行(一旦运行,参考步骤1),右键直接删除即可!
另外还需注意C盘->用户->公用下面的公用视频、公用图片、公用文档、公用下载、公用音乐等文件夹。
官方版everything下载地址:
https://www.voidtools.com/zh-cn/downloads/
三、远控木马分析
同时,该木马会留下开机自启动后门,名字为PDF.lnk
远控地址为:111.173.80.91
该木马具有一定绕过个人版杀毒软件能力,可无声执行
经沙箱查杀,该木马会进行许多危险操作,如创建可执行文件、创建进程、记录键盘输入、回连控制端等行为。
木马控制端为湖北襄阳某住宅IP,被控端会请求控制端8888端口
防范该类病毒需要提高安全意识,务必做到:
1、打开电脑文件名后缀,对发布的exe、DLL、SYS、SRC、bat、vbs格式文件以及部分office文档提高警惕。
Windows11如下:
Windows10:
点击任务栏上的文件夹图标来打开文件资源管理器,在【查看】选项卡的【显示/隐藏】组中,勾选【文件名扩展名】选项
2、选择合适的杀毒软件且定期查杀病毒
3、微信关闭自动下载
如开启自动下载,请在文件夹中查看文件,不直接打开文件
赛克艾威科技有限公司在金融、运营商、医疗、高校和互联网等多个行业领域拥有广泛经验。我们提供完整的解决方案和专业的安全服务,帮助客户解决信息数字化带来的各种安全风险和挑战。我们的安全团队专注于漏洞研究,为客户提供卓越的技术支持。合作是我们的起点,服务认可是我们的长期目标。
赛克艾威愿意成为您在信息安全领域最可信赖的服务提供商。
如您需要技术支持,请随时联系我们~(联系方式:严经理 13501116240)