近日，安天 CERT（安全研究與應(yīng)急 處理中心）在梳理網(wǎng)絡(luò)安全事件時發(fā)現(xiàn)一 種名為 WebCobra 的挖礦木馬。該木馬來 自俄羅斯，它可以自動探測系統(tǒng)架構(gòu)，來 選擇釋放和安裝不同的挖礦軟件。

     WebCobra 通 過 流 氓 PUP 安 裝 程 序進行傳播，其主要的植入程序是一個 Microsoft 安裝器，用于檢查運行環(huán)境。在 x86 系統(tǒng)上，它會將 Cryptonight 挖礦軟件 的代碼注入到一個正在運行的進程中，并 且啟動進程監(jiān)視器；在 x64 系統(tǒng)上，它會 檢查 GPU 配置，并從遠(yuǎn)程服務(wù)器下載和 啟動 Claymore’s Zcash 挖礦軟件。木馬程 序啟動后，還會采用一些反調(diào)試、反模擬和反沙箱技術(shù)，以及檢測系統(tǒng)上正在運行 的其他安全軟件。WebCobra 通過將 ntdll. dll 和 user32.dll 文件載入內(nèi)存中，修改里 面 API 函數(shù)的前 8 個字節(jié)，來逃避安全軟 件的檢測，并且使用一個死循環(huán)，不斷檢 查所有已打開窗口的標(biāo)題欄文本，來確定 自己是否運行在一個專為惡意軟件設(shè)計的 隔離環(huán)境中。以上這些步驟可以使該惡意 軟件在系統(tǒng)中隱匿相當(dāng)長的一段時間。

     安天 CERT 提醒廣大政企客戶，要提 高網(wǎng)絡(luò)安全意識，在日常工作中要及時進 行系統(tǒng)更新和漏洞修復(fù)，不要隨意下載非 正版的應(yīng)用軟件、非官方游戲、注冊機等。 收發(fā)郵件時要確認(rèn)收發(fā)來源是否可靠，更加不要隨意點擊或者復(fù)制郵件中的網(wǎng)址， 不要輕易下載來源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò) 異常要提高警惕并及時采取應(yīng)對措施，養(yǎng) 成及時更新操作系統(tǒng)和軟件應(yīng)用的好習(xí) 慣。確保沒有任何計算機運行直接連接到 Internet 的遠(yuǎn)程桌面服務(wù)，而是將運行遠(yuǎn)程 桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復(fù)。

      目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了對該 類惡意代碼的檢出。