國家計算機(jī)病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)了一款WinRAR遠(yuǎn)控木馬病毒,該木馬利用WinRAR遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-20250下發(fā)遠(yuǎn)控木馬的攻擊。攻擊者向釣魚目標(biāo)發(fā)送一個文件名為“data-簡歷.zip”的壓縮包,壓縮包中包含一個存在漏洞的ACE格式的壓縮文件,一旦解壓該壓縮文件,壓縮包中的遠(yuǎn)控木馬將被釋放到啟動目錄下,計算機(jī)重新啟動之后,遠(yuǎn)控木馬將運行。
該壓縮包中除了包含存在漏洞的ACE壓縮文件之外,還包含一個通過RLO實現(xiàn)文件名倒置的遠(yuǎn)控木馬。該木馬實際是個scr文件后綴的遠(yuǎn)控木馬,文件名倒置前為“RLOgpj.求要歷簡.scr”,倒置并隱藏文件后綴后為“簡歷要求.jpg”,通過文件名倒置迷惑釣魚目標(biāo),誘導(dǎo)目標(biāo)雙擊運行木馬。
除了scr文件后綴的木馬之外,當(dāng)釣魚目標(biāo)解壓壓縮包中的ACE壓縮文件之后也會中招。解壓后遠(yuǎn)控木馬windowsupdate.exe會被釋放到啟動目錄下,計算機(jī)重新啟動之后木馬將運行,該木馬與上文提到的scr后綴的木馬相同,都是開源遠(yuǎn)控木馬QuasarRAT的變種。攻擊者在一個釣魚壓縮包中用兩種不同的方式下發(fā)木馬以保證攻擊的成功率。
針對該惡意程序所造成的危害,建議用戶做好安全防護(hù),近期應(yīng)格外注意其他人發(fā)來的壓縮包文件,謹(jǐn)防這類漏洞攻擊。同時安裝安全防護(hù)軟件,并將病毒庫版本升級至最新版,以免使電腦受到該惡意程序的危害。