绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动众测商城积分兑换常见问题
近日,360安全卫士团队接到用户反馈,其从Discord上下载的Telegram通讯软件疑似存在木马病毒,导致文件下载、在线聊天、键盘录入等操作都“有点不对劲儿”。经及时响应持续跟进,360安全卫士团队最终发现了一种伪装成Telegram通讯软件安装包进行攻击的病毒木马,并根据传播方式将其命名为——FakeTelegram。

披上Telegram马甲隐蔽性强

据悉,这种新型木马会下载合法的Telegram安装包进行安装,以掩盖暗中的恶意行为,并通过RDP服务实现驻留,然后伺机执行启动长期后门,记录键盘输入、扫描浏览器密码等操作,潜在威胁极大。不过,广大用户也无需过于担心,只需及时下载安装360安全卫士,便可在第一时间监测、查杀这种木马。

360社区

360社区


之所以说FakeTelegram威胁巨大,主要是基于其传播渠道的特殊性。根据360安全大脑的监测结果,该木马被托管于Discord CDN服务器。而Discord是一款主要面向游戏玩家的流行聊天通讯软件,用户量逐年增加。而且,由于向Discord上传的附件可被所有人下载,用户之间的文件分享和传输快速便捷等特点,同样也引起了网络犯罪人员的注意。随之而来的就是大量恶意软件被托管于Discord的CDN服务器以提供给木马远程下载。

潜踪匿影高段位攻击防御难度大

从360安全大脑监测和记录的攻击流程来看,从链接下载回来的“安装包”会使用C#语言进行编写,并通过程序图标伪装成Telegram安装程序的32位文件。为了更好地伪装自身,还盗用了Telegram合法软件签名Telegram FZ-LLC,不过从文件属性中可以看到该签名实际无效。为了躲避检测,程序中大量敏感字符串还进行了Base64编码,运行时才会解码。

360社区

360社区


而且,虚假安装包木马还会获取本地机器的MAC地址,匹配自身携带的地址库(共含13345个MAC地址),若在列表中则不进行感染。为了避免重复感染,程序还会通过确认文件%LocalAppData%\ASUNCB-dcBdklMsBabnDBlU是否存在来判断当前机器是否已被感染过,若确认已感染便会退出并自我删除,否则便创建该文件并继续执行后续操作。接着访问网址 hxxps://www.google.com/,确认网络可用,否则持续等待,直至访问响应成功。


360社区

360社区

为了攻击过程的顺利进行,木马通过修改注册表键值的方式降低系统的防御能力,让用户对攻击过程无感知。然后从Telegram官方下载正常的Telegram安装程序到目录 %LocalAppData% 下,以管理员权限执行合法安装程序,完成安装包原本的工作。最后,创建两个bat文件 %TEMP%\\Action.bat、%TEMP%\\Remove.bat,写入batch命令并执行脚本。Action.bat执行后续攻击流程,Remove.bat则完成自我删除。

暗中加载后门木马威胁程度高

在这些脚本中,Get-Content.ps1作为最后执行的脚本,负责完成后门程序的释放和驻留操作。首先,脚本判断当前脚本执行环境是否拥有管理员权限,有则执行后续操作,没有则尝试以管理员身份重新执行start.vbs。此外,该脚本还会尝试绕过系统UAC的防护。成功后绕过防护后,脚本开始准备释放后门dll,涉及到的服务为termservice。

360社区

360社区


TermService服务启动后,会加载一款名为ServHelper后门木马。该木马使用Delphi语言进行开发,通常以dll形式出现,并使用PECompact进行加壳,以劫持RDP服务的方式完成在受害机器上的驻留。此次攻击释放的木马文件中大部分敏感字符串均进行了加密,解密密钥为“RSTVWVDJ”。

执行后,ServHelper会连接C2:
hxxps://jfuag3.cn/figjair/b.php,根据收到的命令执行相应操作。其共支持32条指令:包括用户创建、文件下载、远控工具配置、键盘记录、会话通道控制等功能。解密出的字符串,含有各项命令涉及的URL、注册表项、命令行、文件路径等。

360社区

360社区


360安全卫士利剑出击定向查杀

目前,在360安全大脑的强势赋能下,360安全卫士等系列产品可在第一时间拦截查杀此类木马威胁。同时,面对诡诈多变的木马威胁,360安全大脑还针对用户安全下载,给出如下安全建议:

1.用户在下载安装软件时,可优先通过软件官网、360软件管家查找安装,以此来避免在不正规下载站下载后导致的恶意捆绑和故障。

2.受到蓝屏波及的用户,可及时前往weishi.360.cn下载安装360安全卫士,强力查杀此类病毒木马。

3.提高安全意识,不随意打开陌生人发来的各种文件,如需打开务必验证文件后缀是否与文件名符合。



来源  360官网

共 1 个关于高隐蔽性木马FakeTelegram粉墨登场 360安全卫士强力查杀铸就安防堤坝的回复 最后回复于 2021-4-21 17:46

评论

直达楼层

卫士之圣 VIP认证 LV12.少将 发表于 2021-4-21 17:46 | 显示全部楼层 | 私信
看看了吧
来自360手机N6 Lite(360社区3.5.5版)
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:176 关注:13 积分:191217

精华:307 金币:196990 经验:155954

最后登录时间:2021-10-21

小水滴公测勋章 智能摄像机3C 摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

最新活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表