近日，安天 CERT 在梳理網絡安全事件時發現一個名為 M00nD3V Logger 的多功能竊密木馬。由于該木馬具有多種竊密功能，逐漸在黑客論壇活躍起來。感染的網站進行傳播，通過帶有 zip 附件的垃圾郵件和受感染的網站將有效載荷投放到受害者的機器上。M00nD3V Logger除了竊取信息外，還具有其他功能，包括反僵尸網絡軟件、檢測系統中殺毒軟件進程、反調試、通過 SMTP/FTP/ 代理將收集的數據進行回傳、下載額外的插件以及采用 BouncyCastle 加密數據包等。目前，安天追影產品已經實現了對該 M00nD3VLogger 竊密木馬的鑒定；安天智甲已經實現了對該竊密木馬的查殺。

      垃圾郵件附件解壓后包含惡意的可執行文件，執行后使用二層 XOR 解密并釋放 M00nD3V Logger 竊密木馬。該竊密木馬具有多個功能模塊，其每個模塊對應功能為從指定 URL 下載名為 Crypto.dll 的文件并將其加載到內存中；執行前休眠 5000毫秒；創建名為 "99ed2fc7-0fdc-42ef-8b82-78d1c7c554e3" 的互斥量；使用 Rijndael256算法解密 StubConfig 中的數據，數據是Base64 編碼過的值，密鑰是硬編碼的互斥量值；添加注冊表鍵值實現自啟動；檢查系統中是否正在運行 SbieDll.dll，Wireshark等進程，如果存在，該木馬將退出；提升進程權限，通過 AceQualifier AccessDenied將安全標識符類型設置為“WorldSid”，確保該進程不允許被終止；檢查系統中殺毒軟件名，使用鏡像劫持技術達到禁用所有列出的文件名程序的目的；反僵尸網絡軟件；檢查系統進程分析軟件如 ProcessExplorer、Process Hacker 等；通過 SMTP/FTP/ 代理將收集的數據進行回傳。

      安天 CERT 提醒廣大政企客戶，應提高網絡安全意識。在日常工作中及時進行系統更新和漏洞修復，不隨意下載非正版的應用軟件，注冊機等。收發郵件時應確認收發來源是否可靠，不隨意點擊或者復制郵件中的網址，不輕易下載來源不明的附件，發現網絡異常要提高警惕并及時采取應對措施，養成及時更新操作系統和軟件應用的良好習慣。確保所有的計算機在使用遠程桌面服務時避免使用弱口令，如果業務上無需使用遠程桌面服務，建議將其關閉。