近日，安天 CERT（安全研究與應急 處理中心）在梳理網絡安全事件時發現 一種將 java 和 vbs 結合起來，使用戶感染 Adwind 遠控木馬和 Houdini VBS 蠕蟲的新 型病毒。

      這種木馬是一個 .jar 文件，通過釣魚 郵件的附件進行傳播。當木馬運行后，首 先會搜索資源節，在用戶目錄釋放一個 vbs 腳本，這個腳本中包含一大段 Base64 編碼的數據。這段數據經過解碼后，會 在 %appdata% 目 錄 下 轉 換 生 成 ntfsmgr. jar。ntfsmgr.jar 的 主 要 作 用 是 在 %temp% 目錄下釋放一個隨機命名的 .class 文件， 該文件是 Adwind 遠控的真正后門，它會 記錄用戶按鍵、修改和刪除文件、下載執行其他惡意軟件、屏幕截圖、訪問攝像 頭、控制鼠標鍵盤等等。另外，先前釋放 的 vbs 腳本除了讓用戶感染 Adwind 木馬 外，還會在 %appdata% 下釋放另一個隨機 命名的 vbs 腳本，該腳本會將自身解碼為 Houdini VBS 蠕蟲病毒，該病毒可以使攻 擊者在用戶機器上下載并執行文件、運行 指令、上傳文件、刪除文件或文件夾、終 止進程等。在最近的惡意活動中我們發現， 攻擊者為了提高成功率，常常會將兩種功 能相似的惡意軟件結合起來使用。

      安天 CERT 提醒廣大政企客戶，要提 高網絡安全意識，在日常工作中要及時進 行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。收發郵件時要確認收發來源是否可靠，更 加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保沒有任何計算機運行直接連接到 Internet 的遠程桌面服務，而是將運行遠程 桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。