借“特洛伊木马屠城记”命名、擅长伪装的木马病毒,在计算机世界里,要比故事中更加猖獗和狡猾,它们会苦练技术隐藏踪迹,使用多种方式隐匿在计算机设备上,持续进行多种恶意行为,给终端用户带来严重的安全威胁。
案例一:火绒工程师根据深圳某企业提供的日志进行分析,发现大量木马病毒(如下图),这些木马病毒恶意行为多样,包括流量暗刷、流量劫持、收集用户信息等行为,并会隐藏在系统内,严重威胁终端安全。
案例二:火绒工程师根据东莞某科技公司提供的日志分析,并对主要病毒类型进行总结,木马病毒出现多次(如下图)。用户终端下载使用的流氓软件携带木马病毒,是该企业重点需要关注的安全问题。
上述企业面临的木马病毒问题并非个例,而是众多企业终端安全问题的缩影。
根据火绒发布的《上半年终端安全回顾:病毒攻击次数过亿 网络安全依旧需要常态响应》报告统计,2021上半年,针对木马病毒家族的拦截量和感染量均在各项数值前列,足以证明木马病毒的猖獗现状。
木马病毒为什么可以长期且大量存在于终端设备上呢?
木马病毒擅长伪装,通过多种手段传播。和“特洛伊木马屠城记”中古希腊以木马伪装运送士兵类似,黑客会将木马程序伪装成“正常”程序,通过各种形式传播和扩散,从而感染用户。如黑客会通过邮件、短信中的附带链接传播病毒;黑客会通过各种不知名来源的未知程序传播木马病毒;黑客还会通过各种系统漏洞和软件漏洞,投放木马病毒……当用户访问了带有木马的网页、下载了带有木马的软件等,也就成为了木马病毒的受害者。
木马病毒可以长期存在于被感染者设备上,贻害无穷。隐匿在系统中的盗号木马,会伺机盗取各类账号密码;下载者木马,会通过下载其他病毒来间接对系统产生安全威胁;在后台通过访问特定网址来“刷流量”的点击器木马,还会占用被感染主机的网络带宽……这些不同类型的木马病毒,盗取被感染用户的信息、占用系统资源挖矿、下载病毒、或者开后门将被感染设备作为工具攻击其他设备,严重影响用户终端安全。
通常在用户意识到被感染木马病毒时,被感染设备可能已经遭到严重破坏。因此火绒工程师特别提醒,当你的设备出现下列问题就需要引起重视,是否已经暗藏木马病毒:
关于木马病毒的查杀建议:
1、 安装火绒软件,使用【全盘查杀】功能进行查杀;重启后再次快速扫描确认是否有残留报毒。
2、如企业内出现有多台终端出现被感染的情况,可选择部署火绒企业版,通过控制中心下发【全盘查杀】任务。
关于木马病毒的防范建议:
1、 个人用户:安装火绒安全,定期全盘扫描查杀;正规途径下载软件,下载软件前进行查杀;不随意打开来自陌生邮件、短信、社交消息中的不知名链接。
2、企业用户:部署火绒企业版;定期通过控制中心对内网终端分批次下发全盘查杀任务;内网如果部署的共享服务器,建议对共享服务器定期进行全盘查杀;对员工使用的软件进行限制,尽量规范企业内软件下载\使用减少、避免使用破解版、绿色版软件。
补充阅读链接:
(1)《根据火绒查杀数据发现 挖矿病毒的套路都在这里》
(2)《上半年终端安全回顾:病毒攻击次数过亿 网络安全依旧需要常态响应》