瑞星捕获疑似国内黑客组织传播病毒证据

近日,瑞星威胁情报中心捕获到疑似国内病毒团伙利用HFS服务器传播病毒的证据。经分析发现,此次传播的病毒有数个,其中点击量最高的已经过万,病毒不仅会伪装成游戏,还会释放后门及远控木马,因此广大用户需提高警惕。

图:病毒团伙IP地址下的多个恶意文件

通过瑞星HFS服务器监控平台可以看出,此次事件中的病毒团伙利用的IP地址为:119.91.152.xxx:4442,因此猜测该团伙为国内组织。而在这个HFS服务器下,存有多个恶意文件,其中“srys.exe”文件的点击量已经过万,不止释放Farfli后门程序,还释放DarkKomet远控木马。同时,该IP地址下的“梦回沉默M2.exe”、“12_32.exe”和“syswqa.exe”等文件,有的会伪装成游戏迷惑用户,有的会访问恶意地址,而最终均会释放“srys.exe”程序。

图:瑞星HFS服务器监控平台检测到带有恶意文件的IP地址

瑞星安全专家介绍,病毒团伙是利用HFS服务器地址传播恶意程序的,无论是点击该IP地址下哪个程序,最终都会被指向“srys.exe”,而这个点击量已经过万的恶意程序,不仅开启后门程序,还会对受害主机进行控制桌面、记录键盘、截取屏幕、盗取文件及其他远程控制等操作。

由于HFS服务器能够共享文件,任何人都可以访问,因此其危害范围较广,国内用户应提高警惕,加强防范意识,避免受到波及。同时,瑞星安全专家建议广大用户做到以下两点:

1. 部署EDR、NDR类产品。

可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。

2. 安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。

杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。

图:瑞星ESM防病毒终端安全防护系统查杀此次事件中的病毒

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )

Baidu
map