近日，安天 CERT（安全研究與應(yīng)急處 理中心）在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)一種名 為 Wirenet 的挖礦木馬。該木馬以 Opera、 Firefox、Chrome 和 Chromium 等 跨 平 臺(tái) 瀏 覽 器 和 Thunderbird、SeaMonkey 和 Pidgin 等應(yīng)用的密碼為目標(biāo)，竊取用戶信息。

     Wirenet 在 Linux 平臺(tái)下會(huì)自動(dòng)復(fù)制至 “~/WIFIADAPT”目錄，然后使用 AES 加 密通道，連線至 C&C 服務(wù)器。該樣本的函 數(shù)數(shù)量較多，大部分的字符串信息已經(jīng)被加 密，樣本在網(wǎng)絡(luò)傳輸過程中使用了 AES 加 密。因此，樣本 main 函數(shù)執(zhí)行時(shí)首先進(jìn)行 了 AES 的初始化操作，其使用的 AES 加密 模式為 CFB。其次 , 樣本 main 函數(shù)中還調(diào) 用了一個(gè) InstallHost 函數(shù)用于執(zhí)行自我安裝，同時(shí)在 ReadSettings 函數(shù)中包含了一些設(shè)置 的重要信息。樣本的重要信息都采用 RC4 加密方式進(jìn)行加密，通過 GDB 動(dòng)態(tài)調(diào)試可 獲取到大量信息，如連接的服務(wù)器，密碼 等，這些信息在 InstallHost 函數(shù)中被使用， 而 InstallHost 函數(shù)中的 Wirenet 使用解密出 的信息與服務(wù)器建立連接，并且在 /.config/ autostart 中設(shè)置開機(jī)自啟動(dòng)功能。另外樣本 中還有一個(gè)重要的函數(shù) ProcessData，通過對(duì) ProcessData 函數(shù)的調(diào)用關(guān)系可發(fā)現(xiàn)，該函數(shù) 包含了大量功能，如遍歷文件夾、讀寫文件、 獲取操作系統(tǒng)版本和用戶信息、鼠標(biāo)監(jiān)控、 開關(guān)機(jī)等，Wirenet 基本具備了一個(gè)普通后 門程序所具備的功能。

     安天 CERT 提醒廣大政企客戶，要提高網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及時(shí)進(jìn)行 系統(tǒng)更新和漏洞修復(fù)，不要隨意下載非正版 的應(yīng)用軟件、非官方游戲、注冊(cè)機(jī)等。收發(fā) 郵件時(shí)要確認(rèn)收發(fā)來源是否可靠，更加不要 隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址，不要輕易 下載來源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高 警惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng)成及時(shí)更新操 作系統(tǒng)和軟件應(yīng)用的好習(xí)慣。確保沒有任何 計(jì)算機(jī)運(yùn)行直接連接到 Internet 的遠(yuǎn)程桌面 服務(wù)。 而是將運(yùn)行遠(yuǎn)程桌面的計(jì)算機(jī)放在 VPN 之后，只有使用 VPN 才能訪問它們。 同時(shí)也要做好文件的備份，以防止勒索軟件 加密重要文件后無(wú)法恢復(fù)。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類惡意代碼的檢出。