近期,騰訊電腦管家接到用戶求助,稱自己收到網友發來的“會所會員資料”消息,出于一時好奇,便點擊打開了其中以.xlsx為后綴的文檔,發現并無“猛料”,自己卻落入了不法黑客的套路之中。

　　(圖:偽裝會所會員資料展示)

騰訊電腦管家工程師近日監測發現一款遠程控制木馬變種“大灰狼”,正在偽裝成“會所成員聯系方式”的虛假文件傳播。經分析,該木馬變種由“XINKE”木馬團伙利用多個釣魚文檔及Flash漏洞掛馬傳播,中毒電腦會被攻擊者完全控制。目前,騰訊電腦管家已全面攔截并查殺該木馬變種,提醒廣大用戶保持安全警惕,切勿點擊觀看該類虛假文檔以防中招。

　　(圖:騰訊電腦管家全面攔截并查殺該木馬變種)

據騰訊電腦管家安全專家介紹,該變種控制木馬善于偽裝,利用多種欺騙手段隱藏自己,令普通用戶難覓蹤跡。首先該木馬會偽裝成圖片、ppt文檔、銀行賬單等形式,試圖誘導用戶點擊觀看,一旦用戶不慎點擊觀看,不法黑客就會利用程序調用病毒組件,將攻擊程序隱藏在圖片文件中再解密執行。

　　(圖:偽裝杜撰會員會所資料展示)

除此以外,攻擊者還使用各種新技術對抗殺軟,以此躲避查殺。該木馬往往會從一系列下載的圖片中解密出病毒執行模塊,檢測當前系統是不是處于調試環境,如果是,病毒程序就停止后續動作。如果是普通用戶環境,就會安裝遠程控制軟件,實現對目標計算機的完全控制。

事實上,臭名昭著的“XINKE”木馬團伙已是病毒木馬黑產慣犯,此次使用的遠程控制木馬“大灰狼”也是黑產圈較為流行的遠控工具。值得注意的是,該團伙經常使用漏洞、釣魚文檔等手段傳播木馬,同時經營外掛、私服、流量劫持、后門安裝等非法交易,嚴重威脅普通用戶的信息財產安全。

　　(圖:“XINKE”木馬團伙家族圖譜)

據有關報道,目前該木馬的原始作者已經去世,但相關代碼已流落黑產圈開源共享,不同的病毒木馬團伙會對其定制改造后發布諸多變種肆意作惡。對此,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大用戶,建議用戶升級Adobe Flash Player到最新版本,避免遭遇Flash漏洞攻擊;切勿輕信網上流傳的各種拖庫資料、會所檔案,一旦下載運行會有較大的中度風險;同時保持騰訊電腦管家等主流殺毒軟件實時開啟并運行狀態,可有效攔截各類危險程序。

除此以外,馬勁松建議修改windows資源管理器顯示選項,關閉“隱藏已知文件類型的擴展名”功能,可快速辨別是否有文件后綴,例如文檔圖標用PPT、PDF、XLS,后輟卻是EXE的話,基本可以斷定為惡意程序。