雷鋒網(wǎng)注：本文轉(zhuǎn)載自火絨安全。

日前，火絨工程師接到某公關(guān)公司求助，稱在未安裝火絨的情況下，員工所用企業(yè)郵箱被盜，并向其服務(wù)的多個(gè)客戶發(fā)送帶有病毒附件的郵件?；鸾q工程師根據(jù)該公司提供的郵件及病毒附件分析發(fā)現(xiàn)，這是一起有預(yù)謀的、針對(duì)特定企業(yè)進(jìn)行的APT類攻擊（高級(jí)可持續(xù)性攻擊）。附件文檔內(nèi)容并非公司員工編寫(xiě)，并經(jīng)過(guò)精心設(shè)計(jì)，可以看出攻擊者對(duì)該公司及其所服務(wù)客戶工作時(shí)間、習(xí)慣以及業(yè)務(wù)等都極其熟悉。

火絨工程師分析，病毒郵件附件為一個(gè)壓縮包，內(nèi)有偽裝成Word文檔的病毒程序（木馬下載器），誘騙用戶點(diǎn)擊。一旦病毒被執(zhí)行，首先會(huì)釋放一個(gè)與病毒同名的真實(shí)的Word文檔，并同時(shí)將自己隱藏到其它目錄中，且可以隨開(kāi)機(jī)自行啟動(dòng)。

偽裝成Word的病毒程序

隱藏的病毒主要實(shí)施兩種行為：一是搜集被攻擊的電腦系統(tǒng)版本和安裝的安全軟件信息，發(fā)送至病毒遠(yuǎn)程服務(wù)器；二是從遠(yuǎn)程服務(wù)器中下載其它病毒到本地執(zhí)行。由于該企業(yè)求助火絨分析病毒郵件時(shí)，距離被攻擊時(shí)間已有兩周，其遠(yuǎn)程服務(wù)器已經(jīng)無(wú)法下載病毒模塊，但依舊處于開(kāi)啟狀態(tài)，不排除后續(xù)派發(fā)其它病毒到本地執(zhí)行的可能性。

而值得一提的是，該病毒入侵電腦后還會(huì)關(guān)閉趨勢(shì)安全軟件，該軟件為多數(shù)日企所用，這近一步表明攻擊者精準(zhǔn)的了解攻擊目標(biāo)，而非盲目攻擊。

最后，針對(duì)此類精準(zhǔn)、持續(xù)的郵件攻擊，建議廣大企業(yè)用戶：

及時(shí)尋求安全公司的幫助，查詢病毒來(lái)源、去處以及危害，并及時(shí)清除病毒，加強(qiáng)安全防護(hù)，比如定期修改郵箱密碼；而對(duì)于收件方，如果已經(jīng)執(zhí)行了病毒附件，也需要聯(lián)系安全廠商進(jìn)行全面排查，防止黑客入侵。此外，還可以安裝靠譜安全軟件定期殺毒，并開(kāi)啟相關(guān)防御功能。

附【事件相關(guān)樣本分析】：

某公關(guān)顧問(wèn)公司發(fā)現(xiàn)有部分企業(yè)郵箱對(duì)該公司客戶發(fā)送帶有惡意附件的郵件，附件包含的文檔格式經(jīng)過(guò)精心設(shè)計(jì)，內(nèi)容非公關(guān)公司員工編寫(xiě)，對(duì)客戶的投放較為精準(zhǔn)，且對(duì)雙方企業(yè)構(gòu)成、業(yè)務(wù)、工作習(xí)慣較為熟悉，帶有明顯的APT攻擊痕跡。

用戶提供的惡意郵件附件為一個(gè)壓縮包，壓縮包中包含有偽裝成Word文檔的病毒程序（通過(guò)插入U(xiǎn)nicode RLO控制符改變文件名的顯示順序），誘騙用戶點(diǎn)擊執(zhí)行。

病毒主要惡意行為：

1、遍歷進(jìn)程，查找PC-cillin安全軟件相關(guān)程序”pccnt.exe”并結(jié)束。

2、解密用于欺騙用戶的Word文檔到病毒當(dāng)前的目錄下，并打開(kāi)。

3、將自身移動(dòng)到%Temp%目錄下，更名為avirra.exe，之后將新的文件路徑添加注冊(cè)表啟動(dòng)項(xiàng)。（HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ravirra）

4、使用主機(jī)的用戶名、MAC地址作為標(biāo)識(shí)，并收集主機(jī)的系統(tǒng)版本和安裝的安全軟件信息后，將兩段數(shù)據(jù)簡(jiǎn)單加密拼接發(fā)送至病毒服務(wù)器。（hxxp://180.150.xxx.xxx/ser.php）。

5、從地址hxxp://180.150.xxx.xxx/cbook.jpg下載相關(guān)文件解密后執(zhí)行。下載和解密的相關(guān)下載代碼，如下圖所示：

6、以上分析可以證明該病毒屬于攻擊的前期階段，后續(xù)攻擊會(huì)根據(jù)病毒服務(wù)器的返回的數(shù)據(jù)做進(jìn)一步滲透。

企業(yè)聯(lián)系火絨提取郵件時(shí)，距離郵件發(fā)送已超過(guò)兩個(gè)星期， C&C服務(wù)器已經(jīng)無(wú)法請(qǐng)求到病毒相關(guān)模塊。但該服務(wù)器的Web服務(wù)依然處于發(fā)布狀態(tài)，不排除將來(lái)下發(fā)其他病毒模塊到被入侵計(jì)算機(jī)執(zhí)行的可能性。

建議企業(yè)在發(fā)生安全事件時(shí)，及時(shí)與安全公司取得聯(lián)系，尋求對(duì)樣本分析、事件溯源和安全技術(shù)的支持。

雷鋒網(wǎng)從火絨了解到，此次安全事件中，如果收件方已經(jīng)執(zhí)行了郵件附件的情況下，也需要聯(lián)系安全廠商對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行檢測(cè)，不排除黑客已經(jīng)入侵到公司內(nèi)網(wǎng)的可能。

雷鋒網(wǎng)注：本文轉(zhuǎn)載自火絨安全。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。