高隐蔽性木马FakeTelegram粉墨登场 360安全卫士强力查杀铸就安防堤坝

近日，360安全卫士团队接到用户反馈，其从Discord上下载的Telegram通讯软件疑似存在木马病毒，导致文件下载、在线聊天、键盘录入等操作都“有点不对劲儿”。经及时响应持续跟进，360安全卫士团队最终发现了一种伪装成Telegram通讯软件安装包进行攻击的病毒木马，并根据传播方式将其命名为——FakeTelegram。

披上Telegram马甲隐蔽性强

据悉，这种新型木马会下载合法的Telegram安装包进行安装，以掩盖暗中的恶意行为，并通过RDP服务实现驻留，然后伺机执行启动长期后门，记录键盘输入、扫描浏览器密码等操作，潜在威胁极大。不过，广大用户也无需过于担心，只需及时下载安装360安全卫士，便可在第一时间监测、查杀这种木马。

之所以说FakeTelegram威胁巨大，主要是基于其传播渠道的特殊性。根据360安全大脑的监测结果，该木马被托管于Discord CDN服务器。而Discord是一款主要面向游戏玩家的流行聊天通讯软件，用户量逐年增加。而且，由于向Discord上传的附件可被所有人下载，用户之间的文件分享和传输快速便捷等特点，同样也引起了网络犯罪人员的注意。随之而来的就是大量恶意软件被托管于Discord的CDN服务器以提供给木马远程下载。

潜踪匿影高段位攻击防御难度大

从360安全大脑监测和记录的攻击流程来看，从链接下载回来的“安装包”会使用C#语言进行编写，并通过程序图标伪装成Telegram安装程序的32位文件。为了更好地伪装自身，还盗用了Telegram合法软件签名Telegram FZ-LLC，不过从文件属性中可以看到该签名实际无效。为了躲避检测，程序中大量敏感字符串还进行了Base64编码，运行时才会解码。

而且，虚假安装包木马还会获取本地机器的MAC地址，匹配自身携带的地址库（共含13345个MAC地址），若在列表中则不进行感染。为了避免重复感染，程序还会通过确认文件%LocalAppData%\ASUNCB-dcBdklMsBabnDBlU是否存在来判断当前机器是否已被感染过，若确认已感染便会退出并自我删除，否则便创建该文件并继续执行后续操作。接着访问网址 hxxps://www.google.com/，确认网络可用，否则持续等待，直至访问响应成功。

为了攻击过程的顺利进行，木马通过修改注册表键值的方式降低系统的防御能力，让用户对攻击过程无感知。然后从Telegram官方下载正常的Telegram安装程序到目录 %LocalAppData% 下，以管理员权限执行合法安装程序，完成安装包原本的工作。最后，创建两个bat文件 %TEMP%\\Action.bat、%TEMP%\\Remove.bat，写入batch命令并执行脚本。Action.bat执行后续攻击流程，Remove.bat则完成自我删除。

暗中加载后门木马威胁程度高

在这些脚本中，Get-Content.ps1作为最后执行的脚本，负责完成后门程序的释放和驻留操作。首先，脚本判断当前脚本执行环境是否拥有管理员权限，有则执行后续操作，没有则尝试以管理员身份重新执行start.vbs。此外，该脚本还会尝试绕过系统UAC的防护。成功后绕过防护后，脚本开始准备释放后门dll，涉及到的服务为termservice。

TermService服务启动后，会加载一款名为ServHelper后门木马。该木马使用Delphi语言进行开发，通常以dll形式出现，并使用PECompact进行加壳，以劫持RDP服务的方式完成在受害机器上的驻留。此次攻击释放的木马文件中大部分敏感字符串均进行了加密，解密密钥为“RSTVWVDJ”。

执行后，ServHelper会连接C2:
hxxps://jfuag3.cn/figjair/b.php，根据收到的命令执行相应操作。其共支持32条指令：包括用户创建、文件下载、远控工具配置、键盘记录、会话通道控制等功能。解密出的字符串，含有各项命令涉及的URL、注册表项、命令行、文件路径等。

360安全卫士利剑出击定向查杀

目前，在360安全大脑的强势赋能下，360安全卫士等系列产品可在第一时间拦截查杀此类木马威胁。同时，面对诡诈多变的木马威胁，360安全大脑还针对用户安全下载，给出如下安全建议：

1.用户在下载安装软件时，可优先通过软件官网、360软件管家查找安装，以此来避免在不正规下载站下载后导致的恶意捆绑和故障。

2.受到蓝屏波及的用户，可及时前往weishi.360.cn下载安装360安全卫士，强力查杀此类病毒木马。

3.提高安全意识，不随意打开陌生人发来的各种文件，如需打开务必验证文件后缀是否与文件名符合。

来源 360官网