近日，安天 CERT（安全研究與應急處 理中心）在梳理網絡安全事件時發現一種名 為 Wirenet 的挖礦木馬。該木馬以 Opera、 Firefox、Chrome、Chromium 等跨平臺瀏覽 器和 Thunderbird、SeaMonkey、Pidgin 等應 用的密碼為目標，竊取用戶信息。

     Wirenet 在 Linux 平臺下會自動復制至 “~/WIFIADAPT”目錄，然后使用 AES 加 密通道，連線至 C&C 服務器。該樣本的函 數數量較多，大部分的字符串信息已經被加 密，樣本在網絡傳輸過程中使用了 AES 加密。 因此，樣本 main 函數執行時首先進行了 AES 的初始化操作，其使用的 AES 加密模式 為 CFB。其次，樣本 main 函數中還調用了 一個 InstallHost 函數用于執行自我安裝程序，同時在 ReadSettings 函數中包含了一些設置 的重要信息。樣本的重要信息都采用 RC4 加密方式進行加密，通過 GDB 動態調試即 可獲取到大量信息，如連接的服務器、密碼 等，這些信息在 InstallHost 函數中被使用， 而 InstallHost 函數中的 Wirenet 使用解密出 的信息與服務器建立連接，并且在 /.config/ autostart 中設置開機自啟動功能。另外樣本 中還有一個重要的函數 ProcessData，通過對 ProcessData 函數的調用關系可發現，該函數 包含了大量功能，如遍歷文件夾、讀寫文件、 獲取操作系統版本和用戶信息、鼠標監控、 開關機等，Wirenet 基本具備了一個普通后 門程序所具備的功能。

     安天 CERT 提醒廣大政企客戶，要提高網絡安全意識，在日常工作中要及時進行系 統更新和漏洞修復，不要隨意下載非正版的 應用軟件、非官方游戲、注冊機等。收發郵 件時要確認收發來源是否可靠，更加不要隨 意點擊或者復制郵件中的網址，不要輕易下 載來源不明的附件，發現網絡異常要提高警 惕并及時采取應對措施，養成及時更新操作 系統和軟件應用的好習慣。確保沒有任何計 算機運行直接連接到 Internet 的遠程桌面服 務，而是將運行遠程桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時 也要做好文件的備份，以防止勒索軟件加密 重要文件后無法恢復。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。