AnarchyGrabber3
小心程度 ★★★
影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP
病毒执行体形貌
AnarchyGrabber木马变种AnarchyGrabber3通过疏散在Discord游戏平台中�,�,�,伪装成游戏作弊软件�、、�、黑客工具或有版权的软件撒播�。Discord是一款专为电子游戏社区设计的免费网络实时通话软件与数字刊行平台�。
攻击者使用该木马可以窃取受害者的纯文本密码�,�,�,并下令受熏染的客户端向受害者的朋侪撒播该恶意程序�。通过窃取纯文本密码�,�,�,攻击者可以在凭证填充攻击中使用它们来入侵受害者在其他网站的账户�。
装置后�,�,�,AnarchyGrabber3将修改Discord客户端的%AppData%/ /[version]/modules/discord_desktop_core/index.js文件�,�,�,以加载恶意软件添加的其他JavaScript文件�。
从修改后的剧本中可以看到�,�,�,当Discord运行时�,�,�,它将从一个新的4n4rchy文件夹加载一个名为inject.js的文件�。
然后�,�,�,该文件将加载另一个名为discordmod.js的恶意javascript文件到客户端�。
然后恶意剧本将用户从Discord客户端注销并提醒他们重新登录�。
一旦受害者登录�,�,�,修改后的Discord客户端将试图禁用其帐户上的2FA�。然后�,�,�,客户端使用一个Discord webhook将用户的电子邮件地点�、、�、登录名�、、�、用户令牌�、、�、纯文本密码和IP地点发送到攻击者控制下的Discord通道�。
当毗连到Discord时�,�,�,修改后的客户机还将侦听攻击者发送的下令�。其中一个下令告诉被熏染的Discord客户端发送一条新闻给所有登录帐户的朋侪�,�,�,其中包括他们希望撒播的恶意软件�。
在运行了AnarchyGrabber3可执行文件并修改了Discord的客户端文件之后�,�,�,它不再驻留或再次运行�。
因此�,�,�,杀毒软件无法检测到恶意历程�,�,�,被熏染的用户将继续成为僵尸网络的一部分�,�,�,每当他们毗连到Discord�。
若是担心你的Discord客户端被熏染�,�,�,可以用记事本翻开%AppData%/ /[version]/modules/discord_desktop_core/index.js文件�,�,�,并确保没有对文件的修改�。
一个未被修改的index.js文件将包括以下一行�:
module.exports = require('./core.asar');
若是您的客户端有任何其他内容�,�,�,并且您没有居心举行修改�,�,�,那么您的客户端很可能受到了熏染�。
移除AnarchyGrabber3的唯一要领是卸载Discord客户端并重新装置它�。
预防和扫除�:
不要点击不明网站�;翻开不明邮件附件�;准时经常更新杀毒软件病毒数据库�,�,�,最好翻开杀毒软件的病毒数据库自动更新功效�。关闭电脑共享功效�,�,�,关闭允许远程毗连电脑的功效�。装置最新的系统补丁�。
Avaddon
小心程度 ★★★
影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP
病毒执行体形貌
带着眨眼和微笑�,�,�,新的Avaddon勒索软件在针对全球用户的大规模垃圾邮件活动中活跃起来�。Avaddon于本月初启动�,�,�,并起劲招募黑客和恶意软件分发者�,�,�,以任何可能的方式撒播勒索软件�。
在一波以“你的新照片?”或“你喜欢我的照片吗?”为主题的电子邮件中�,�,�,除了一个眨眼的笑容外�,�,�,什么内容都没有�,�,�,一个用于Avaddon勒索软件的JavaScript下载程序正在被撒播�。
这些电子邮件的附件是一个JavaScript文件�,�,�,伪装成一张名为IMG123101.jpg的JPG照片�。在你问为什么有人会翻开通过电子邮件发送给他们的JavaScript文件之前�,�,�,主要的是要记着�,�,�,Windows默认会隐藏文件扩展名�,�,�,只管这是一个已知的清静风险�。这意味着对吸收者来说�,�,�,它将以.jpg文件的形式泛起�,�,�,如下所示�。JavaScript文件显示为JPG名堂
当执行时�,�,�,JS附件将同时启动一个PowerShell和Bitsadmin下令来下载Avaddon勒索软件可执行文件到%Temp%文件夹并运行它�。
一旦执行�,�,�,勒索软件将搜索数据举行加密�,�,�,并将.avdn扩展名附加到加密的文件中�。
在每个文件夹中�,�,�,还会建设一个名为[id]-readme.html的赎金说明�。这封勒索信包括一个TOR支付网站的链接和一个用来登录该网站的唯一ID�。
这个TOR支付网站包括赎金�,�,�,以及怎样支付解密器的说明�。
TOR网站的其他部分包括一个支持谈天�、、�、免费测试解密和一个由哈利波特角色演示的资助页面�。
不幸的是�,�,�,现在还不可实现免费解密�。
预防和扫除�:
不要点击不明网站�;翻开不明邮件附件�;准时经常更新杀毒软件病毒数据库�,�,�,最好翻开杀毒软件的病毒数据库自动更新功效�。关闭电脑共享功效�,�,�,关闭允许远程毗连电脑的功效�。装置最新的系统补丁�。
以上信息由上海市网络与信息清静应急治理事务中心提供
