Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/TOP.png

 

 

Date:2015-04-21

Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/TEXT.png

病毒情报中心

 

系统漏洞信息

一周病毒情况报告
趋势科技热门病毒综述 - BKDR_SIMDA.SMEP

 

MS15-028

系统安全技巧

 

趋势科技产品

日本超过8万台计算机感染网银病毒

病毒码和DCT情况

 

一周病毒情况报告

 

本周用户报告感染数量较多的病毒列表

Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/1.png

DOWNAD家族

 

 

趋势科技热门病毒综述

 

趋势科技热门病毒综述 - BKDR_SIMDA.SMEP

 

此恶意软件家族源于SIMDA僵尸网络。它于20154月被发现。它会连接远程恶意站点,用于发送与接收数据。它会在执行后删除自身。

Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/1.png

对该病毒的防护可以从下述连接中获取最新版本的病毒码:11.524.00

 

http://support.trendmicro.com.cn/Anti-Virus/China-Pattern/Pattern/

Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/1.png

病毒详细信息请查询:

 

http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/BKDR_SIMDA.SMEP

 

 

系统漏洞信息

 

MS15-028: Windows 任务计划程序中的漏洞可能允许安全功能绕过 (3030377)

 

Windows 7
Windows Server 2008 R2
Windows 8
Windows 8.1
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1

描述:https://technet.microsoft.com/zh-cn/library/security/MS15-028

 

 

趋势科技产品

 

病毒码和DCT情况

趋势科技在最近一周发布中国区病毒码情况如下:

 

20150413日发布病毒码11.602.60
2015
0415日发布病毒码11.604.60
2015
0416日发布病毒码11.608.60
2015
0418日发布病毒码11.612.60
2015
0421日发布病毒码11.616.65

截至目前,病毒码的最高版本为11.616.65,发布于20150421日。

Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/1.png

病毒码下载地址为:

 

http://support.trendmicro.com.cn/Anti-Virus/China-Pattern/Pattern/

Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/1.png

您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新:

 

http://support.trendmicro.com.cn/Anti-Virus/China-Pattern/TSUT/

 

趋势科技在最近一周发布全球病毒码情况如下:

 

20150417日发布病毒码11.609.00
2015
0418日发布病毒码11.611.00
2015
0419日发布病毒码11.613.00
2015
0420日发布病毒码11.615.00
2015
0421日发布病毒码11.617.00

截至目前,病毒码的最高版本为11.617.00,发布于20150421日。

Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/1.png

病毒码下载地址为:

 

http://support.trendmicro.com.cn/Anti-Virus/Main-Pattern/

Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/1.png

您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新:

 

http://support.trendmicro.com.cn/Anti-Virus/TSUT/

 

趋势科技在最近发布DCT情况如下:

 

20110407日发布DCT 1115

Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/1.png

DCT工具最新版本为1115,下载地址为:

 

http://support.trendmicro.com.cn/Anti-Virus/DCT/

 

 

系统安全技巧

 

http://blog.iqushi.com/wp-content/uploads/2015/04/03.jpg

日本东京警察局最近发现约有八万两千台计算机,感染了一种叫”VAWTRAK”新型病毒,能够非法转账网络银行存款。

为了加强网上银行安全,不少银行都会要求客户根据手机,输入只能使用一次的验证码。不过东京警察局发现有黑客利用新型计算机病毒及网络诈骗网站,成功盗取受害者的验证码,将受害者的存款暗中转账到其他账户。过去一年中类似案件多达一千八百宗,涉及金额共二十九亿日元。

去年八月份日本石川县一名女子曾举报遭黑客盗取验证码,从账户盗走九十六万日元。警方发现受害者的计算机感染VAWTRAK病毒,当登录网络银行后,画面出现要求输入验证码的假网站,只要受害人输入相关数据便中招,在受害人毫不知情的情况下非法转账。

日本大约有四万四千台计算机感染这种新型病毒,其余分布在欧美与亚洲等几十个国家,日方已经通过国际刑警组织,向各国提供相关信息。

以下是趋势科技在今年年初对该病毒所做的分析:

    银行木马VAWTRAK利用恶意宏及Windows PowerShell

趋势科技在去年发现WindowsPowerShell命令行如何被恶意宏下载程序用来散播ROVNIX。虽然在11月的攻击并没有直接利用PowerShell功能,但是我们发现银行木马VAWTRAK滥用此Windows功能同时,也利用微软Word内的恶意宏。

银行木马VAWTRAK跟窃取网络银行数据有关。被针对的银行包括美国银行、巴克莱银行、花旗银行、汇丰银行、劳埃德银行和摩根大通。过去也看过一些变种针对德国、英国、瑞士和日本的银行。

    通过联邦快递垃圾邮件到达

感染链开始于垃圾邮件。大多数和此感染相关的邮件都伪装成来自联邦快递(FedEX)。这些假邮件通知收件人包裹寄达,还包含了收据号码。

http://blog.iqushi.com/wp-content/uploads/2015/04/1.jpg

联邦快递垃圾邮件)

趋势科技发现另一封邮件来自假的美国航空(American Airlines)电子邮件地址,它通知收件人信用卡已经被用来处理交易。附上的是Word格式的电子机票,里面本应该要包含交易细节。

http://blog.iqushi.com/wp-content/uploads/2015/04/2.jpg

美国航空电子邮件)

    使用宏和PowerShell

当收件人打开文件后会先看到乱码。文件要求用户启用宏,左上角的安全警告会引导用户去启用该功能。

http://blog.iqushi.com/wp-content/uploads/2015/04/31.jpg

(文件启用宏前、后)

宏一旦被启用后,会在受影响系统中植入一个批处理文件,还包括一个VBS文件和一个PowerShell文件。这个批处理文件被设计用来执行VBS文件,然后提示执行PowerShell文件。PowerShell文件最终会下载VAWTRAK变种(侦测为BKDR_VAWTRAK.DOKR)。

http://blog.iqushi.com/wp-content/uploads/2015/04/4.jpg

(连到特定网址下载VAWTRAK

使用三个组件(批处理文件、VBScriptWindows PowerShell文件)可能是种躲避侦测的手段。VBS文件具备“-ExecutionPolicy bypass”旗标绕过受影响系统的执行政策。这些政策往往被许多管理者视为安全功能。它们不会允许文件执行,除非符合政策要求。当使用“-ExecutionPolicy bypass”后,不会封锁任何事情,而且没有警告或提示。这意味着恶意软件感染链没有任何安全性封锁就可以被进行。

    VAWTRAK恶意行为

一旦BKDR_VAWTRAK.DOKR进入计算机,它会从不同来源窃取数据。例如,它会从邮件服务(如微软OutlookWindows Mail)窃取电子邮件登陆证书。它也会试图从不同浏览器(包括Google ChromeMozilla Firefox)窃取数据。它还会从文件传输软件或文件管理软件比如FileZilla窃取帐户信息。

此外,BKDR_VAWTRAK.DOKR可以绕过像一次性密码(OTP)的双因子身份认证,也具备像自动化转账系统(ATS)等功能。

VAWTRAK恶意软件的SSL绕过和ATS能力取决于它接收到的配置文件。配置文件包含了用于ATSSSL的脚本,该脚本会被注入到浏览器。恶意文件可能根据目标网站而不同,SSL绕过和ATS脚本就像注入到客户端浏览器的自动化脚本。这将制造出受害者计算机上的交易已经完成的印象,减少对恶意软件的怀疑。

    VAWTRAK,新与旧

使用带有恶意宏Word文件,这跟之前已知的VAWTRAK抵达方式不同。 VAWTRAK变种之前是漏洞攻击带来的恶意软件;有些VAWTRAK感染是Angler漏洞攻击被感染的一部分。使用宏的行为跟其它数据窃取恶意软件类似,尤其是ROVNIXDRIDEX

我们看到另一个明显的变化是恶意软件所使用的路径和文件名。VAWTRAK变种之前使用以下路径和文件名:

%All Users Profile%\Application Data\{random file name}.dat

%Program Data%\{random file name}.dat

它们之后改变成:

%All Users Profile%\Application Data\{random folder name}\{random filename}.{random file extension}

%Program Data%\{random folder name}\{random filename}.{random file extension}

路径和文件名的变化也可能对安全性造成影响,如果系统依赖于行为规则来进行侦测。假如侦测VAWTRAK的规则是寻找%All Users Profile%\Application Data%Program Data%目录内的DAT扩展名,就需要加以更新才能捉到这些VAWTRAK样本。

    利用宏躲避侦测

VAWTRAK是最新利用宏进行攻击的恶意软件家族。这个特定VAWTRAK变种利用密码保护宏,使分析这一恶意软件变得更加困难,因为没有密码或特殊工具就无法检测或打开宏。

    受影响国家

趋势科技201411月开始就一直在监控这一波新的VAWTRAK感染。在受影响国家中,美国的感染数量最多,其次是日本。之前来自趋势科技主动式云端截毒服务Smart Protection Network的数据显示大多数VAWTRAK感染发现在日本。

http://blog.iqushi.com/wp-content/uploads/2015/04/5.jpg

(受新VAWTRAK变种影响的前十名国家)

结论

自从VAWTRAK20138月第一次被发现假冒成寄件通知的附件以来,已经有过一些显著的改进。再加上连续使用了恶意宏和Windows PowerShell,网络犯罪分子已经制造出进行数据窃取的理想工具。趋势科技的主动式云端截毒技术可以保护用户免于此威胁,封锁所有相关的恶意文件、网址和垃圾邮件。也建议用户要能够分辨假冒和正常的电子邮件,比如此案例中真正的电子机票或收据跟假冒的不同。

转载请标明文章来源于趋势科技

 

免责声明

 

该邮件列表仅用于提供信息,此邮件列表内容不负任何担保责任,没有明示或默示的保证,包括但不限于对适销性、特定用途适用性以及不受侵害的暗示保证。用户对此邮件列表的准确性和使用承担全部风险,因依赖该资料所致的任何损失,趋势科技均不负责。

Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/2.png

对本刊有任何意见,欢迎来信指教。E-mailAVCS@trendmicro.com.cn

Description: 说明: 说明: 说明: 说明: http://support.trendmicro.com.cn/Anti-Virus/Misc/ITSePaper/BOTTOM.png