近日，安天 CERT 在梳理網絡安全事 件 時 發 現 一 個 名 為 ZombieBoy 的 木 馬。 該木馬最早出現于 2017 年底，分析人員 監測到該木馬目前已經在多個行業迅速擴 散，其中，企業為感染的重災區，教育行 業和政企單位等均受到不同程度的感染。 ZombieBoy 木馬包含了內網掃描、“永恒 之藍”漏洞利用、“雙脈沖星”后門、挖 礦工具等多個惡意模塊，是一款集端口掃 描、遠控、挖礦功能為一體的混合型木馬。

      ZombieBoy 運行后，會在 windows 目 錄下創建一個隨機 5 位字母的文件夾，并 在該文件夾下釋放“永恒之藍”工具包、 端口掃描工具和“雙脈沖星”后門植入工 具。創建 aC.exe 挖礦程序，下載 123.exe 到C:\\Windows\\System32\\sys.exe，并運行。 訪問 http://v9.monerov8.com:8800/A.txt 獲 取 URL 地址用于下載惡意文件 , 當前木馬 的 URL 已失效。接下來該木馬從自身釋放 并執行 84.exe、創建腳本文件 SB360.bat 到 windows 目錄下和下載執行 wk.exe 并將其 重命名為 CPUInfo.exe。84.exe 的主要功能 是檢測是否存在名為 dazsks gmeakjwxo 的 服務，沒有就創建該服務、刪除自身和解 密 C2 地址等。創建腳本文件制定 IP 策略， 屏 蔽 135、139、445 等 端 口。CPUInfo.exe 的功能是運行挖礦進程。感染該挖礦木馬 后清除比較麻煩，同時會出現內網傳播的 情況。

      安天 CERT 提醒廣大政企客戶，要提高網絡安全意識，在日常工作中要及時進 行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。 收發郵件時要確認收發來源是否可靠，更 加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保所有的計算機在使用遠程桌面服 務時避免使用弱密碼，如果業務上無需使 用遠程桌面服務，建議將其關閉。

      目前，安天追影產品已經實現了對該 類木馬的鑒定；安天智甲已經實現了對該 木馬的查殺。