國家計(jì)算機(jī)病毒應(yīng)急處理中心通過對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)�����,發(fā)現(xiàn)名為“月光”(MoonLight)的蠕蟲感染量呈上升趨勢(shì)�。該蠕蟲可實(shí)現(xiàn)遠(yuǎn)程控制���、組建僵尸網(wǎng)絡(luò)等惡意操作�,同時(shí)會(huì)利用被感染主機(jī)針對(duì)指定目標(biāo)網(wǎng)站執(zhí)行DDos攻擊�。
該蠕蟲主要通過電子郵件�����、文件共享以及可移動(dòng)磁盤等途徑進(jìn)行傳播����。攻擊者將病毒偽裝成以“**課件”����、“打印**”等命名的屏幕保護(hù)程序文件(.scr文件)進(jìn)行傳播��,主要用于迷惑高校師生���,目前我國教育�����、信息技術(shù)����、科研及技術(shù)服務(wù)等領(lǐng)域已遭受到影響��。該蟲在運(yùn)行后首先會(huì)將自身拷貝至系統(tǒng)目錄����、臨時(shí)文件目錄��、注冊(cè)表Run啟動(dòng)項(xiàng)和全局啟動(dòng)目錄等��,使用的文件名包括固定名稱和隨機(jī)生成的名稱�����。同時(shí)����,該病毒將自身添加到開機(jī)啟動(dòng)項(xiàng)�、映像劫持、exe/scr文件關(guān)聯(lián)等位置���,以確保在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行并防止被刪除����。傳播過程中�����,該病毒將自身拷貝至包含“download”、“upload”���、“share”等字符的文件夾中以感染網(wǎng)絡(luò)共享文件夾����;將自身以文件夾圖標(biāo)的形態(tài)拷貝至可移動(dòng)磁盤中�,以迷惑用戶雙擊打開運(yùn)行;該病毒還嘗試將自身的副本發(fā)送到從受感染主機(jī)中搜索獲取的電子郵件地址�,并使用自帶的SMTP郵件引擎猜測(cè)收件人電子郵件服務(wù)器,在目標(biāo)域名前面加上特定字符�,構(gòu)造虛假的郵件正文和郵件附件名稱��,誘使被害者點(diǎn)擊打開后下載惡意文件����。在成功感染后還會(huì)利用被感染主機(jī)針對(duì)特定的目標(biāo)網(wǎng)站執(zhí)行DDoS攻擊,并通過遠(yuǎn)程控制被感染主機(jī)獲取系統(tǒng)文件和目錄��、創(chuàng)建和執(zhí)行程序��、獲取鍵盤輸入內(nèi)容等��。
該蠕蟲具有較強(qiáng)的局域網(wǎng)傳播感染能力�,對(duì)我國高校、信息等行業(yè)形成較大的潛在威脅。建議我國相關(guān)領(lǐng)域用戶提高安全防范意識(shí)����,增強(qiáng)針對(duì)該病毒的安全防范措施,一是確保安裝并檢查殺毒軟件狀態(tài)�,保持實(shí)時(shí)監(jiān)控功能和病毒特征庫更新;二是使用殺毒軟件對(duì)U盤�、移動(dòng)硬盤等可移動(dòng)磁盤進(jìn)行掃描;三是排查內(nèi)部網(wǎng)絡(luò)��,關(guān)閉不必要的文件共享��;四是切勿打開不明來歷的郵件附件文件及鏈接等�����。