近日�����,360安全大腦監(jiān)測(cè)到有不法分子將某管理軟件“終端安全管理系統(tǒng)”客戶端偽裝成Telegram�����、Skype、如流等軟件的安裝程序�����,通過釣魚網(wǎng)站進(jìn)行傳播�����,誘導(dǎo)被害者點(diǎn)擊運(yùn)行�����,進(jìn)而控制被害者機(jī)器�����。對(duì)此�����,360安全衛(wèi)士表示已在第一時(shí)間通知相關(guān)廠商進(jìn)行處理�����,并對(duì)被濫用的客戶端進(jìn)行了查殺�����,從而避免更多用戶受到這種新型木馬病毒的攻擊�����。
新型木馬隱蔽性強(qiáng)活動(dòng)猖獗
據(jù)了解�����,所謂的某管理軟件“終端安全管理系統(tǒng)”�����,是一個(gè)企業(yè)IT管理軟件�����,具有遠(yuǎn)程控制�����、上傳下載文件、屏幕監(jiān)控等功能�����。不法分子正是看中了這一點(diǎn)�����,才對(duì)其進(jìn)行針對(duì)性的偽裝�����,試圖以此誘導(dǎo)更多的用戶中招�����。根據(jù)360安全大腦的監(jiān)控?cái)?shù)據(jù)分析�����,該被濫用軟件在去年就已經(jīng)被多個(gè)釣魚掛馬組織利用�����,到今年1月中旬�����,開始出現(xiàn)較大規(guī)模傳播�����,近期傳播量又在不斷增大�����。
相比于普通木馬�����,這種傳播方式具有極強(qiáng)的隱蔽性�����。以假冒的“如流”為例�����,從釣魚網(wǎng)頁(yè)http://hbczrfgd[.]com/index/index.html中下載到的所謂“如流”安裝包�����,實(shí)際上就是某管理軟件的“終端安全管理系統(tǒng)”安裝包。
下載后得到安裝包名稱“poclient_setup_154.197.48.22_D8RULIU.exe”�����,該文件其實(shí)是某管理軟件安全終端安裝程序�����。而該安裝包會(huì)根據(jù)文件名中含有的IP�����,在安裝完成后自動(dòng)完成配置�����,將服務(wù)端地址指向該IP�����。
測(cè)試過程中�����,360安全衛(wèi)士的工作人員發(fā)現(xiàn)�����,在安裝了某管理軟件安全管控平臺(tái)的服務(wù)端后�����,假冒“如流”安裝包會(huì)將IP地址更換成了測(cè)試機(jī)地址�����,然后可以在服務(wù)端監(jiān)測(cè)到受控端已經(jīng)正常上線�����。測(cè)試發(fā)現(xiàn)�����,該服務(wù)端可以實(shí)時(shí)遠(yuǎn)程控制受控端�����,竊取受控端文件和信息�����。以屏幕監(jiān)控功能為例,軟件會(huì)每隔5秒對(duì)用戶屏幕進(jìn)行截圖保存�����,用戶的一舉一動(dòng)均會(huì)被記錄�����。
實(shí)際上�����,此類“正常軟件”被不法分子利用早已屢見不鮮了�����。早在2016年�����,就曾有一批盛行一時(shí)的詐騙案件�����,正是借助國(guó)際知名的管理軟件TeamViewer進(jìn)行遠(yuǎn)程控制進(jìn)而實(shí)現(xiàn)詐騙目的�����。詐騙分子當(dāng)時(shí)還使用了TeamViewer提供的定制化功能�����,放上了精心偽造圖標(biāo)用以提高詐騙的成功率�����。
此類軟件會(huì)受到各種不法分子的青睞�����,主要是其功能特點(diǎn)所導(dǎo)致的�����。對(duì)于管理或協(xié)助類軟件來(lái)說�����,遠(yuǎn)程查看�����、遠(yuǎn)程控制、數(shù)據(jù)傳輸都是必備的基礎(chǔ)功能�����,而這些功能也恰恰都是遠(yuǎn)控木馬所需要的�����。同時(shí)�����,不少此類軟件為了方便客戶多為企業(yè)的大規(guī)模批量部署�����,也都在受控端加入了隱藏界面�����、全自動(dòng)安裝�����、快速配置等“貼心”功能。此類功能的確會(huì)方便客戶�����,但若不加驗(yàn)證隨意使用�����,也勢(shì)必會(huì)方便很多居心不良者實(shí)現(xiàn)自己不可告人的目的�����。
360安全衛(wèi)士全面安全解決用戶難題
不過�����,用戶也無(wú)需過度擔(dān)憂�����,360安全衛(wèi)士無(wú)需升級(jí)�����,即可進(jìn)行針對(duì)性查殺�����。已經(jīng)中招或懷疑自己已經(jīng)中招的用戶�����,可以檢查自己電腦的C:\Windows\projone\ podlp目錄�����,若存在該目錄則意味著可能已經(jīng)中招;此外�����,用戶還可以通過查看系統(tǒng)的“服務(wù)”列表�����,若存在名稱為“pohost”的服務(wù)項(xiàng)�����,則證明已經(jīng)中招�����。
如果不幸已中招,由于該軟件沒有卸載程序�����,一般操作無(wú)法正常卸載�����,用戶可直接使用360軟件管家直接對(duì)其進(jìn)行卸載處理�����。
對(duì)于此類病毒�����,360安全衛(wèi)士提醒用戶�����,一方面要及時(shí)安裝并確保開啟安全軟件�����,保證其對(duì)本機(jī)的安全防護(hù);另一方面�����,對(duì)于安全軟件報(bào)毒的程序�����,不要輕易添加信任或退出安全軟件�����。尤其需要注意的是�����,用戶須從官網(wǎng)或正規(guī)渠道下載安裝軟件�����,從而在最大程度上降低感染此類病毒的風(fēng)險(xiǎn)�����。
作為累計(jì)服務(wù)13億用戶的國(guó)民級(jí)PC安全產(chǎn)品�����,360安全衛(wèi)士上線十余年來(lái)一直致力于為用戶提供全方位的安全守護(hù)。目前�����,360安全衛(wèi)士形成了集合木馬查殺�����、漏洞修復(fù)�����、隱私保護(hù)�����、勒索解密等多重功能于一體的安全解決方案�����。未來(lái)�����,360安全衛(wèi)士將繼續(xù)深耕安全技術(shù)�����,為用戶提供更加及時(shí)�����、更具針對(duì)性的安全守護(hù)�����。
管理軟件被不法分子用于抓肉雞 360安全衛(wèi)士定向查殺解決安全難題
