近日，安天 CERT（安全研究與應急 處理中心）在梳理網絡安全事件時注意到， “蜻蜓二代”惡意代碼開始活躍，該樣本 能夠感染系統并常駐于系統，并且還具有 竊密文件回傳、遠程執行任意命令、下載 擴展組件執行等功能。

     該樣本運行后會檢測當前執行文件是 否以 STService 的名稱進行操作。若不是， 則 將 樣 本 復 制 到 %appdata%， 利 用 COM 接口在開始菜單的啟動文件夾下創建快捷 方式來實現自啟動，修改文件時間，將 文件屬性修改為系統隱藏，然后以“ST Service Scheduling”為參數啟動 STService. exe。若當前執行文件路徑是 \STService\STService.exe，則循環創建 320 個線程， 解密配置信息并與遠程地址通信。樣本會 連 接 默 認 C&C：37.1.202.26， 向 其 提 交 計算機的基本信息并且獲取控制命令，根 據計算機信息構造數據包。惡意代碼會 從 .jpg、.png 以及 .gif 中隨機選取作為上 傳服務器目標路徑，然后加密根據計算機 基本信息拼接成的字符串，通過 POST 請 求回傳。樣本會根據響應的控制指令，執 行相應的操作。樣本會判斷響應的數據中 是否含有數據 uE4GMN，若含有，說明 上線成功，然后刪除 status_svr.txt 文件， 否則說明上線失敗。若上線失敗，則判斷 狀態標志文件“%APPDATA%\STService\status_svr.txt”是否存在，如果該文件存在， 則使用備用 C&C（37.1.219.31）進行上線 和控制命令的獲取。

     安天 CERT 提醒廣大網絡使用者， 要提高網絡安全意識，在日常工作中要及 時進行系統更新和漏洞修復，不要隨意下 載非正版的應用軟件、非官方游戲、注冊 機等。收發郵件時要確認收發來源是否可 靠，更加不要隨意點擊或者復制郵件中的 網址，不要輕易下載來源不明的附件，發 現網絡異常要提高警惕并及時采取應對措 施，養成及時更新操作系統和軟件應用的 好習慣。目前，安天追影產品已經實現了 對該類惡意代碼的檢出。