一、概述
近期,国家互联网应急中心(CNCERT)和安天联合监测到一批伪装成CorelDraw、Notepad++、IDA Pro、WinHex等多款实用软件进行传播的窃密木马。通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过1.3万,由于该窃密木马会收集浏览器书签、邮箱账户等信息,故将其命名为“魔盗”。
攻击者利用“cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域名建立多个软件下载页面,用于投放伪装成实用软件的“魔盗”窃密木马。窃密木马运行后会收集受害者主机中已安装的软件列表与多款浏览器的历史记录、书签数据和邮件客户端邮箱账户信息,并加密回传至攻击者服务器。恶意程序具备在线升级能力,注意防范以免造成更大损失。
二、 防范建议
请全校师生强化风险意识,加强安全防范,主要建议包括:
(1)建议通过官方网站统一采购、下载正版软件。如无官方网站建议使用可信来源进行下载,下载后使用反病毒软件进行扫描并校验文件 HASH。
(2)尽量不打开来历不明的网页链接,不要安装来源不明软件。
(3)加强口令强度,避免使用弱口令,密码设置要符合安全要求,并定期更换。建议使用 16 位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令。
(4)梳理已有资产列表,及时修复相关系统漏洞。
(5)安装终端防护软件,定期进行全盘杀毒。
(6)当发现主机感染僵尸木马程序后,请立即上报学校。