近日,瑞星威胁情报中心捕获到疑似国内病毒团伙利用HFS服务器传播病毒的证据。经分析发现,此次传播的病毒有数个,其中点击量最高的已经过万,病毒不仅会伪装成游戏,还会释放后门及远控木马,因此广大用户需提高警惕。
图:病毒团伙IP地址下的多个恶意文件
通过瑞星HFS服务器监控平台可以看出,此次事件中的病毒团伙利用的IP地址为:119.91.152.xxx:4442,因此猜测该团伙为国内组织。而在这个HFS服务器下,存有多个恶意文件,其中“srys.exe”文件的点击量已经过万,不止释放Farfli后门程序,还释放DarkKomet远控木马。同时,该IP地址下的“梦回沉默M2.exe”、“12_32.exe”和“syswqa.exe”等文件,有的会伪装成游戏迷惑用户,有的会访问恶意地址,而最终均会释放“srys.exe”程序。
图:瑞星HFS服务器监控平台检测到带有恶意文件的IP地址
瑞星安全专家介绍,病毒团伙是利用HFS服务器地址传播恶意程序的,无论是点击该IP地址下哪个程序,最终都会被指向“srys.exe”,而这个点击量已经过万的恶意程序,不仅开启后门程序,还会对受害主机进行控制桌面、记录键盘、截取屏幕、盗取文件及其他远程控制等操作。
由于HFS服务器能够共享文件,任何人都可以访问,因此其危害范围较广,国内用户应提高警惕,加强防范意识,避免受到波及。同时,瑞星安全专家建议广大用户做到以下两点:
1. 部署EDR、NDR类产品。
可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
2. 安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
图:瑞星ESM防病毒终端安全防护系统查杀此次事件中的病毒