近日，安天 CERT（安全研究與應急 處理中心）在梳理網絡安全事件時注意到， 一例在平昌冬奧會中使用的惡意代碼比較 活 躍， 名 為“OlympicDestroyer”。 據 媒 體報道，平昌奧運會的組織者證實，他們 正在調查一起網絡攻擊事件，在正式開幕 式之前暫時使 IT 系統癱瘓，關閉顯示器， 使 Wi-Fi 失效以及破壞奧運會網頁，以致 游客無法打印門票。

     該惡意代碼樣本為 VC++ 編寫的可執 行文件，編譯平臺為 Visual Studio 2015 之 后。樣本運行后，一旦過了 60 分鐘，它 就清除 Windows 事件日志，重置備份，從文件系統中刪除卷影副本，禁用 Windows 啟動菜單中的恢復項目，禁用系統上的所 有服務并重新啟動計算機。同時它也可以 連接網關服務器，竊取用戶憑證，內網橫 向滲透攻擊。當同時運行兩個實例時，后 運行的實例會創建 notepad.exe 進程，并對 notepade.exe 進行注入。注入后的 notepad. exe 會對原樣本文件進行修改，修改后， 樣本文件會自刪除。該惡意代碼使用釣魚 郵件投放，釣魚郵件的目標是冬奧會官方 合作伙伴的網絡，攻擊者可能會去官方網 站查找合作伙伴公司的名稱，收集他們的 域名及已知的電子郵件地址，并開始用釣魚郵件轟炸他們。

     安天 CERT 提醒廣大網絡使用者， 要提高網絡安全意識，在日常工作中要及 時進行系統更新和漏洞修復，不要隨意下 載非正版的應用軟件、非官方游戲、注冊 機等。收發郵件時要確認收發來源是否可 靠，更加不要隨意點擊或者復制郵件中的 網址，不要輕易下載來源不明的附件，發 現網絡異常要提高警惕并及時采取應對措 施，養成及時更新操作系統和軟件應用的 好習慣。目前，安天追影產品已經實現了 對該類惡意代碼的檢出。