近日，安天 CERT（安全研究與應(yīng)急 處理中心）在梳理網(wǎng)絡(luò)安全事件時發(fā)現(xiàn)一 個名為 EVILNUM 的木馬家族。這類木馬 通過誘惑用戶點擊 lnk 文件來觸發(fā)惡意程 序的執(zhí)行。目前，該家族木馬主要用來攻 擊金融技術(shù)類行業(yè)的公司。

      EVILNUM 家族的惡意軟件目前存在 兩個版本，一種使用 JavaScript 編寫，一 種使用 .Net 編寫。盡管編程語言不同，但 是它們的核心功能非常相似，.Net 版本更 像是對 JS 版本的重寫。該家族木馬獲取 C2 服務(wù)器的方式十分特別，它首先會訪 問指定的網(wǎng)站頁面（如公共論壇、GitHub 等），再解析網(wǎng)頁內(nèi)容，提取指定位置的數(shù)字，將數(shù)字除以 666，最后將結(jié)果轉(zhuǎn)化 成十六進制，就得到了 C2 服務(wù)器的 IP 地 址。EVILNUM 的每個版本在功能上都有 所差異，包括但不限于以下功能：設(shè)置自 身持久化、CMD 任意命令執(zhí)行、下載其 他文件等。.Net 相比于 JS 版本，增加了竊 取本地 Cookie 信息和屏幕截圖的功能。 EVILNUM 只是在攻擊的第一階段使用的 木馬，它負責將被感染主機的信息發(fā)送給 攻擊者，由攻擊者決定是否在該機器上繼 續(xù)安裝其他的惡意程序，進行下一步攻擊。

      安天 CERT 提醒廣大政企客戶，要提 高網(wǎng)絡(luò)安全意識，在日常工作中要及時進 行系統(tǒng)更新和漏洞修復(fù)，不要隨意下載非正版的應(yīng)用軟件、非官方游戲、注冊機等。 收發(fā)郵件時要確認收發(fā)來源是否可靠，更 加不要隨意點擊或者復(fù)制郵件中的網(wǎng)址， 不要輕易下載來源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò) 異常要提高警惕并及時采取應(yīng)對措施，養(yǎng) 成及時更新操作系統(tǒng)和軟件應(yīng)用的好習(xí) 慣。確保沒有任何計算機運行直接連接到 Internet 的遠程桌面服務(wù)，而是將運行遠程 桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復(fù)。

      目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了 對該類惡意代碼的檢出。