2021.12.03
警惕!Emotet木马卷土重来,亚信安全检测拦截一气呵成!
事件描述
近日,亚信安全侦测到大量垃圾邮件攻击事件,攻击者会在垃圾邮件中放入带有宏病毒的文档,其通过使用宏4.0加密来增加分析难度。其宏代码会外联恶意链接后下载dll文件。该dll文件经分析确认为Emotet家族木马。目前亚信安全新版本病毒码已支持检测,WRS已经可以拦截Emotet木马相关URL。
Emotet是一种计算机恶意软件程序,最初是作为一种银行木马病毒开发的。其目的是访问外部设备并监视敏感的私有数据。其主要通过垃圾电子邮件传播。相应的电子邮件包含恶意链接或受感染的文档。如果点击下载文档或打开链接,则会自动下载恶意软件到计算机上。这些电子邮件看起来非常真实,因此Emotet的受害者众多,如下是典型攻击邮件样例:
攻击流程
亚信安全产品解决方案
√ 亚信安全病毒码版本17.225.60,云病毒码版本17.225.71,全球码版本17.225.00已经可以检测,请用户及时升级病毒码版本。
√ 亚信安全WRS已经可以拦截Emotet木马相关URL。
病毒详细分析
向上滑动查看所有内容
安全建议
√ 不要点击来源不明的邮件以及附件;
√ 不要点击来源不明的邮件中包含的链接;
√ 不要随意点击来历不明的office文档,将Office默认设置“受保护的视图”;
√ 打开系统自动更新,并检测更新进行安装;
√ 请到正规网站或者应用商店下载程序;
√ 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
√ 尽量关闭不必要的端口;
√ 尽量关闭不必要的网络共享;
IOCs
URL
hxxps[:]//thetrendskill[.]com/wp-content
hxxp[:]//alittlebrave[.]com/wp-content
hxxps[:]//www[.]pasionportufuturo[.]pe
hxxp[:]//sp[.]mongoso[.]com/wp-content
hxxp[:]//prabin[.]me/content
hxxps[:]//zbc[.]vn/wp-admin
hxxp[:]//www[.]thebanditproject[.]com/wp-content
hxxp[:]//sterileinstrument[.]com/sterilematrix_mf
hxxps[:]//www[.]radio-galaxia[.]us
hxxp[:]//gronninggrafisk[.]dk
hxxp[:]//multilifecapsule[.]com
hxxp[:]//sierraendurancesports[.]com
上一篇:北京银行被罚40万