近日，安天 CERT（安全研究與應 急處理中心）在梳理網絡安全事件時注意 到，一種新型利用 CVE-2017-8759 漏洞 的盜號木馬在網絡中開始傳播，當用戶打 開攜帶有惡意代碼的文檔時，就會觸發(fā)漏 洞，聯(lián)網下載盜號木馬源代碼并編譯運 行。該木馬會執(zhí)行竊取計算機信息，盜取 Firefox、Chrome 瀏 覽 器 密 碼 等 操 作， 對 用戶的計算機安全產生了較大的威脅。

     “jLog”盜號木馬利用 Office 文檔作 為傳播載體，該文檔在打開時會聯(lián)網請求 一個 png 格式的文件，該 png 文件是一個 精心構造過的用于觸發(fā)漏洞的文件，其文 件內包含著一段混淆過的 C# 代碼，漏洞觸發(fā)后該段代碼被 C# 編譯器編譯運行， 釋放 jar 木馬文件，再由 C# 程序運行 jar 木馬。該木馬的運行需要 Java 環(huán)境，依賴 jdk 1.8 版本，也就是說如果 jdk 版本低于 1.8 或沒安裝 jdk，該木馬就運行不起來。由于 Java 的跨平臺性，該木馬支持 Windows/ SunOS/Nix/Mac 多個操作系統(tǒng)。其運行后 會檢測當前木馬程序是否需要更新，如果 有更新就運行更新模塊。隨后會收集計算 機名、當前登錄的用戶名、國家、cpu 信息、 主板信息、網絡 ip 信息、jdk 版本信息、 內存信息、操作系統(tǒng)信息等，并在后臺將 這些信息發(fā)送到指定郵箱中。還會實現(xiàn)打 開鍵盤記錄器記錄鍵盤操作、截取當前計算機屏幕、修改注冊表項實現(xiàn)開機自啟等 功能。

     安天 CERT 提醒廣大網絡使用者， 要提高網絡安全意識，在日常工作中要及 時進行系統(tǒng)更新和漏洞修復，不要隨意下 載非正版的應用軟件、非官方游戲、注冊 機等。收發(fā)郵件時要確認收發(fā)來源是否可 靠，更加不要隨意點擊或者復制郵件中的 網址，不要輕易下載來源不明的附件，發(fā) 現(xiàn)網絡異常要提高警惕并及時采取應對措 施，養(yǎng)成及時更新操作系統(tǒng)和軟件應用的 好習慣。目前，安天追影產品已經實現(xiàn)了 對該類高級威脅的檢出。