近日，安天 CERT（安全研究與應(yīng)急處 理中心）在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)一種名 為 tRat 的遠(yuǎn)控木馬。該木馬基于 Delphi 編寫， 攻擊者使用垃圾郵件傳播，通過(guò)宏病毒的方 式下載 tRat 到受害者機(jī)器。

     tRat 使用的宏病毒文檔內(nèi)容一般是知名 公司的廣告，以此來(lái)誘導(dǎo)用戶點(diǎn)擊啟用宏的 按鈕；另外，還會(huì)以“invoice”這種模仿發(fā) 票的常見(jiàn)垃圾郵件傳播惡意代碼的方式來(lái)進(jìn) 行攻擊。一旦用戶點(diǎn)擊了啟用宏的按鈕，宏 代碼即連接網(wǎng)絡(luò)下載 tRat 遠(yuǎn)控木馬并執(zhí)行。 樣本首先會(huì)復(fù)制自身到 %appdata% 下實(shí)現(xiàn)持 久性，接下來(lái)，tRat 在啟動(dòng)目錄中創(chuàng)建一個(gè) LNK 文件，在系統(tǒng)啟動(dòng)時(shí)會(huì)直接執(zhí)行惡意代碼。樣本中的大部分內(nèi)容使用了加密，通信 的數(shù)據(jù)也被加密并使用十六進(jìn)制編碼進(jìn)行傳 輸。惡意代碼回傳的“AUTH_INF”中，使 用冒號(hào)分隔兩個(gè)字符串，第一個(gè)字符串是其 硬編碼的標(biāo)識(shí)符，第二個(gè)字符串是加密的系 統(tǒng)信息，包含受害主機(jī)的計(jì)算機(jī)名稱、系統(tǒng) 用戶名和 tRat 的 botID。惡意代碼還擁有向 C2 發(fā)送請(qǐng)求下載模塊的功能，目前可以發(fā)送 命令“MODULE”，接收模塊后可以將其作 為 DLL 加載。

     安天 CERT 提醒廣大政企客戶，要提高 網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及時(shí)進(jìn)行系 統(tǒng)更新和漏洞修復(fù)，不要隨意下載非正版的 應(yīng)用軟件、非官方游戲、注冊(cè)機(jī)等。收發(fā)郵件時(shí)要確認(rèn)收發(fā)來(lái)源是否可靠，更加不要隨 意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址，不要輕易下 載來(lái)源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高警 惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng)成及時(shí)更新操作 系統(tǒng)和軟件應(yīng)用的好習(xí)慣。確保沒(méi)有任何計(jì) 算機(jī)運(yùn)行直接連接到 Internet 的遠(yuǎn)程桌面服 務(wù)，而是將運(yùn)行遠(yuǎn)程桌面的計(jì)算機(jī)放在 VPN 之后，只有使用 VPN 才能訪問(wèn)。同時(shí)也要做 好文件的備份，以防止勒索軟件加密重要文 件后無(wú)法恢復(fù)。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類惡意代碼的檢出。