近期，安天 CERT（安全研究與應(yīng) 急處理中心）在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn) Emotet 惡意木馬仍然處于活躍狀態(tài)，新變 種正在不斷地被投放。

     Emotet 是一類(lèi)銀行木馬，當(dāng)前版本 的 Emotet 下 載 器 使 用 了 Powershell 執(zhí) 行 最終命令。其傳播途徑為電子郵件釣魚(yú)攻 擊。攻擊者使用釣魚(yú)網(wǎng)站，其中包含一個(gè) 吸引受害者點(diǎn)擊的鏈接，點(diǎn)擊后會(huì)靜默 下載惡意代碼，該惡意代碼通常是一個(gè) Word 文檔，它會(huì)提示受害者啟用宏，一 旦開(kāi)啟，VBA 腳本將會(huì)在后臺(tái)執(zhí)行，下載 惡意代碼載荷并運(yùn)行。VBA 代碼作為惡意 Office 文檔的一部分，只要宏被啟用， 代碼就會(huì)在后臺(tái)執(zhí)行。作為一種混淆代碼 的嘗試，開(kāi)發(fā)人員添加了大量未被使用的 文本，只有整個(gè)代碼的一部分是可用的， 并且它隱藏得很好。初始命令的宏代碼是 Sub AutoOpen（），在子過(guò)程結(jié)束時(shí)看到 調(diào)用了 Application.run 方法，它使用了諸 如“DsPBkKtzcIwF”、“ndUzTzJ” 等 字 符，它們分別是生成命令與調(diào)用 WScript. Shell 來(lái)執(zhí)行命令的功能。經(jīng)過(guò)多次解密后， 可 以 看 到 使 用 了“CMD Comspec /v /c powershell”，調(diào)用 Powershell 執(zhí)行惡意命 令。

     安天 CERT 提醒廣大網(wǎng)絡(luò)使用者， 要提高網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及 時(shí)進(jìn)行系統(tǒng)更新和漏洞修復(fù)，不要隨意下 載非正版的應(yīng)用軟件、非官方游戲、注冊(cè) 機(jī)等。收發(fā)郵件時(shí)要確認(rèn)收發(fā)來(lái)源是否可 靠，更加不要隨意點(diǎn)擊或者復(fù)制郵件中的 網(wǎng)址，不要輕易下載來(lái)源不明的附件，發(fā) 現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時(shí)采取應(yīng)對(duì)措 施，養(yǎng)成及時(shí)更新操作系統(tǒng)和軟件應(yīng)用的 好習(xí)慣。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類(lèi)惡意代碼的檢出。