近日，安天 CERT（安全研究與應急 處理中心）在梳理網絡安全事件時發現一 例后門樣本，名為“inetinfo”。該樣本利 用 445 及 3389 端口實施惡意操作，獲取用 戶網絡信息并通過郵件回傳，可以猜測該 惡意代碼為某攻擊的前導樣本。

     該樣本是一個后門程序，該樣本會根 據參數個數以及參數內容進行不同的操 作。如果參數個數不為 1 或者參數不是 45 則 為 程 序 中 的 服 務 提 供 ServiceStartTable 結構，其中包含服務名稱 RdpCertification 和服務主函數指針。如果參數符合要求，則根據參數的值來進行相對應的操作，如 創建服務、刪除服務、開啟服務以及執行 服務主函數等操作。服務主函數的功能是 測試本機所處的網段中 445 端口以及 3389 端口是否可以使用，若可以使用則連接“本 機所處網段：445”獲取賬戶信息，連接“本 機所處網段：3389”發送郵件。隨機生成 IP，測試 IP 所處的網段的其他 IP 是否可 以連接，若可以連接則連接“IP：445”獲 取賬戶信息，連接“IP：3389”發送郵件。 通過獲取到的郵件了解受害者網絡拓撲信 息，這樣攻擊者就可以確定可以攻擊的目標，準備下一步的攻擊。

     安天 CERT 提醒廣大網絡使用者， 要提高網絡安全意識，在日常工作中要及 時進行系統更新和漏洞修復，不要隨意下 載非正版的應用軟件、非官方游戲、注冊 機等。收發郵件時要確認收發來演是否可 靠，更加不要隨意點擊或者復制郵件中的 網址，不要輕易下載來源不明的附件，發 現網絡異常要提高警惕并及時采取應對措 施，養成及時更新操作系統和軟件應用的 好習慣。目前，安天追影產品已經實現了 對該類惡意代碼的檢出。