近 日， 安 天 CERT（ 安 全 研 究 與 應急處理中心）在梳理網絡安全事件時 發現一例木馬下載程序開始活躍，名為 “QuantLoader”。該程序已經在地下論壇 上發售了較長時間，其用于分發各種惡意 代碼，包括勒索軟件、銀行木馬及 RAT。

     最新版本的 QuantLoader 通過使用一 些網絡釣魚攻擊活動傳播。該活動從一個 釣魚電子郵件開始，附帶一個為受害者提 供初始 JS 下載程序的鏈接。有趣的是，他 們選擇了 file://(SMB) 協議而不是傳統的 http://，也許是為了穿透一些代理 / 防火 墻。

     攻擊者首先通過釣魚郵件使受害 者 打 開 附 件 中 的 JS 下 載 腳 本， 下 載 QuantLoader，運行后連接 C&C，下載后門， 最后回傳系統信息。在郵件附件中的 JS 腳 本有很多代碼，基本使用了混淆處理的方 式。通過對 JS 的分析，可以發現下載的域 名，包括 chimachinenow.com、motifahsap. com、sittalhaphedver.com。QuantLoader 本 體樣本運行后將自身復制到 %appdata% 后 打開一個新進程，同時修改注冊表使其開 機自啟動。它調用 WinHttpCreateUrl，整 合惡意代碼的完整 URL 并下載，C&C 地 址 為“wassronledorhad.in”。 同 時， 它 還會使用 netsh 命令向防火墻添加規則，指 定進程，然后指定允許操作的方向。

     安天 CERT 提醒廣大網絡使用者，要 提高網絡安全意識，在日常工作中要及時 進行系統更新和漏洞修復，不要隨意下載 非正版的應用軟件、非官方游戲、注冊機 等。收發郵件時要確認收發來源是否可靠， 更加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習慣。 目前，安天追影產品已經實現了對該類惡 意代碼的檢出。