AnarchyGrabber3
警惕程度 ★★★
影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP
病毒执行体描述
AnarchyGrabber木马变种AnarchyGrabber3通过分散在Discord游戏平台中,伪装成游戏作弊软件、黑客工具或有版权的软件传播。Discord是一款专为电子游戏社区设计的免费网络实时通话软件与数字发行平台。
攻击者利用该木马可以窃取受害者的纯文本密码,并命令受感染的客户端向受害者的朋友传播该恶意程序。通过窃取纯文本密码,攻击者可以在凭证填充攻击中使用它们来入侵受害者在其他网站的账户。
安装后,AnarchyGrabber3将修改Discord客户端的%AppData%\ \[version]\modules\discord_desktop_core\index.js文件,以加载恶意软件添加的其他JavaScript文件。
从修改后的脚本中可以看到,当Discord运行时,它将从一个新的4n4rchy文件夹加载一个名为inject.js的文件。
然后,该文件将加载另一个名为discordmod.js的恶意javascript文件到客户端。
然后恶意脚本将用户从Discord客户端注销并提示他们重新登录。
一旦受害者登录,修改后的Discord客户端将试图禁用其帐户上的2FA。然后,客户端使用一个Discord webhook将用户的电子邮件地址、登录名、用户令牌、纯文本密码和IP地址发送到攻击者控制下的Discord通道。
当连接到Discord时,修改后的客户机还将侦听攻击者发送的命令。其中一个命令告诉被感染的Discord客户端发送一条消息给所有登录帐户的朋友,其中包含他们希望传播的恶意软件。
在运行了AnarchyGrabber3可执行文件并修改了Discord的客户端文件之后,它不再驻留或再次运行。
因此,杀毒软件无法检测到恶意进程,被感染的用户将继续成为僵尸网络的一部分,每当他们连接到Discord。
如果担心你的Discord客户端被感染,可以用记事本打开%AppData%\ \[version]\modules\discord_desktop_core\index.js文件,并确保没有对文件的修改。
一个未被修改的index.js文件将包含以下一行:
module.exports = require('./core.asar');
如果您的客户端有任何其他内容,并且您没有故意进行修改,那么您的客户端很可能受到了感染。
移除AnarchyGrabber3的唯一方法是卸载Discord客户端并重新安装它。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Avaddon
警惕程度 ★★★
影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP
病毒执行体描述
带着眨眼和微笑,新的Avaddon勒索软件在针对全球用户的大规模垃圾邮件活动中活跃起来。Avaddon于本月初启动,并积极招募黑客和恶意软件分发者,以任何可能的方式传播勒索软件。
在一波以“你的新照片?”或“你喜欢我的照片吗?”为主题的电子邮件中,除了一个眨眼的笑脸外,什么内容都没有,一个用于Avaddon勒索软件的JavaScript下载程序正在被传播。
这些电子邮件的附件是一个JavaScript文件,伪装成一张名为IMG123101.jpg的JPG照片。在你问为什么有人会打开通过电子邮件发送给他们的JavaScript文件之前,重要的是要记住,Windows默认会隐藏文件扩展名,尽管这是一个已知的安全风险。这意味着对接收者来说,它将以.jpg文件的形式出现,如下所示。JavaScript文件显示为JPG格式
当执行时,JS附件将同时启动一个PowerShell和Bitsadmin命令来下载Avaddon勒索软件可执行文件到%Temp%文件夹并运行它。
一旦执行,勒索软件将搜索数据进行加密,并将.avdn扩展名附加到加密的文件中。
在每个文件夹中,还会创建一个名为[id]-readme.html的赎金说明。这封勒索信包含一个TOR支付网站的链接和一个用来登录该网站的唯一ID。
这个TOR支付网站包括赎金,以及如何支付解密器的说明。
TOR网站的其他部分包括一个支持聊天、免费测试解密和一个由哈利波特角色演示的帮助页面。
不幸的是,现在还不能实现免费解密。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
以上信息由上海市网络与信息安全应急管理事务中心提供