管理软件被不法分子用于抓肉鸡 360安全卫士定向查杀解决安全难题
近日,360安全大脑监测到有不法分子将某管理软件“终端安全管理系统”客户端伪装成Telegram、Skype、如流等软件的安装程序,通过钓鱼网站进行传播,诱导被害者点击运行,进而控制被害者机器。对此,360安全卫士表示已在第一时间通知相关厂商进行处理,并对被滥用的客户端进行了查杀,从而避免更多用户受到这种新型木马病毒的攻击。新型木马隐蔽性强活动猖獗
据了解,所谓的某管理软件“终端安全管理系统”,是一个企业IT管理软件,具有远程控制、上传下载文件、屏幕监控等功能。不法分子正是看中了这一点,才对其进行针对性的伪装,试图以此诱导更多的用户中招。根据360安全大脑的监控数据分析,该被滥用软件在去年就已经被多个钓鱼挂马组织利用,到今年1月中旬,开始出现较大规模传播,近期传播量又在不断增大。
相比于普通木马,这种传播方式具有极强的隐蔽性。以假冒的“如流”为例,从钓鱼网页中下载到的所谓“如流”安装包,实际上就是某管理软件的“终端安全管理系统”安装包。
下载后得到安装包名称“poclient_setup_154.197.48.22_D8(RULIU).exe”,该文件其实是某管理软件安全终端安装程序。而该安装包会根据文件名中含有的IP,在安装完成后自动完成配置,将服务端地址指向该IP。
测试过程中,360安全卫士的工作人员发现,在安装了某管理软件安全管控平台的服务端后,假冒“如流”安装包会将IP地址更换成了测试机地址,然后可以在服务端监测到受控端已经正常上线。测试发现,该服务端可以实时远程控制受控端,窃取受控端文件和信息。以屏幕监控功能为例,软件会每隔5秒对用户屏幕进行截图保存,用户的一举一动均会被记录。
实际上,此类“正常软件”被不法分子利用早已屡见不鲜了。早在2016年,就曾有一批盛行一时的诈骗案件,正是借助国际知名的管理软件TeamViewer进行远程控制进而实现诈骗目的。诈骗分子当时还使用了TeamViewer提供的定制化功能,放上了精心伪造图标用以提高诈骗的成功率。
此类软件会受到各种不法分子的青睐,主要是其功能特点所导致的。对于管理或协助类软件来说,远程查看、远程控制、数据传输都是必备的基础功能,而这些功能也恰恰都是远控木马所需要的。同时,不少此类软件为了方便客户(多为企业)的大规模批量部署,也都在受控端加入了隐藏界面、全自动安装、快速配置等“贴心”功能。此类功能的确会方便客户,但若不加验证随意使用,也势必会方便很多居心不良者实现自己不可告人的目的。
360安全卫士全面安全解决用户难题
不过,用户也无需过度担忧,360安全卫士无需升级,即可进行针对性查杀。已经中招或怀疑自己已经中招的用户,可以检查自己电脑的C:\Windows\projone\ podlp目录,若存在该目录则意味着可能已经中招;此外,用户还可以通过查看系统的“服务”列表,若存在名称为“pohost”的服务项,则证明已经中招。
如果不幸已中招,由于该软件没有卸载程序,一般操作无法正常卸载,用户可直接使用360软件管家直接对其进行卸载处理。
对于此类病毒,360安全卫士提醒用户,一方面要及时安装并确保开启安全软件,保证其对本机的安全防护;另一方面,对于安全软件报毒的程序,不要轻易添加信任或退出安全软件。尤其需要注意的是,用户须从官网或正规渠道下载安装软件,从而在最大程度上降低感染此类病毒的风险。
作为累计服务13亿用户的国民级PC安全产品,360安全卫士上线十余年来一直致力于为用户提供全方位的安全守护。目前,360安全卫士形成了集合木马查杀、漏洞修复、隐私保护、勒索解密等多重功能于一体的安全解决方案。未来,360安全卫士将继续深耕安全技术,为用户提供更加及时、更具针对性的安全守护。
来源DoNews 看看了吧
页:
[1]