近日，安天 CERT 在梳理網絡安全事 件時發現一個名為 Trik 的僵尸網絡變種。 目前，在全球有近 50 萬臺受感染的計算 機。該僵尸網絡家族活躍了近 10 年，早期 傳播方式包括可移動存儲介質和即時通訊 軟件，近期發現該僵尸網絡變種傳播方式 為垃圾郵件。Trik 主要目的是以傳播勒索 軟件和挖礦木馬獲利。

      Trik 運 行 后， 在 受 感 染 計 算 機 ％ AppData ％ 目 錄 中 創 建 winsvcs.txt 文 件， 創建注冊表保證開機自啟動。該僵尸網絡 變種包含一個微型組件，該組件利用 SMB協議和硬編碼的用戶名和口令列表，嘗 試連接到開啟 139 端口的遠程計算機并將 Trik 復制到其中。Trik 使用遠程計算機上 的 Windows 服務控制管理器啟動 SMB 組 件進程，檢查是否存在 winsvcs.txt 文件， 從而確定是否連接 C2 服務器下載并執行 所傳播的惡意程序。

      安天 CERT 提醒廣大政企客戶，要提 高網絡安全意識，在日常工作中要及時進 行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。 收發郵件時要確認收發來源是否可靠，更加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保所有的計算機在使用遠程桌面服 務時采取 VPN 連接等安全方式，如果業 務上無需使用遠程桌面服務，建議將其關 閉。

      目前，安天追影產品已經實現了對該 類僵尸網絡的鑒定；安天智甲已經實現了 對該僵尸網絡的查殺。