國家計算機病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測,發(fā)現(xiàn)近期一款網(wǎng)絡(luò)劫持木馬在眾多網(wǎng)吧及大學(xué)的機房中進行傳播。該木馬在2018年9月開始在國內(nèi)傳播,會利用篡改網(wǎng)絡(luò)設(shè)置、劫持客戶端網(wǎng)絡(luò)數(shù)據(jù)、監(jiān)控QQ聊天等方式竊取用戶的隱私。
通過進一步追溯分析發(fā)現(xiàn),在被攻擊的網(wǎng)吧或?qū)W校機房環(huán)境中,均使用一款名為 “銳起無盤系統(tǒng)(去廣告版本)”的軟件。而正是該軟件被利用,向用戶電腦中植入帶有劫持功能的“鑫哥木馬”。據(jù)統(tǒng)計,至少有60家網(wǎng)吧及9所大學(xué)受到影響,被劫持的網(wǎng)站列表超過9000個,同時還會獲取用戶QQ號及聊天記錄文件等信息。木馬最終通過劫持網(wǎng)站、跳轉(zhuǎn)導(dǎo)航、游戲退彈等方式來牟取暴利。
目前監(jiān)測到該木馬主要植入了用于劫持網(wǎng)站和監(jiān)控QQ通訊的木馬,后續(xù)攻擊者可能會下發(fā)更多惡意程序:如盜號木馬、勒索病毒、挖礦程序等進行獲利。這類無盤系統(tǒng)一般包含多臺計算機,一旦主機受到感染,整個網(wǎng)絡(luò)都會受到影響。
針對該惡意程序所造成的危害,建議用戶在網(wǎng)吧等公共環(huán)境上網(wǎng)時,應(yīng)盡量選擇掃描二維碼登錄避免輸入口令。避免在公共環(huán)境使用網(wǎng)銀、操作涉及個人敏感信息的數(shù)據(jù)等。同時,網(wǎng)絡(luò)管理人員可以通過檢查DNS和HOST查看機器是否出現(xiàn)被篡改的情況,并安裝安全防護軟件,以免使電腦受到惡意程序的危害。