据有关部门通报,近期有黑客仿冒火绒安全投递ValleyRAT木马,现特此进行通报,并提醒全校师生做好个人用网安全防护、及时进行安全排查。
木马分析:ValleyRAT木马属于银狐木马变种,攻击者不仅仿冒火绒安全,还有仿冒Line聊天软件、有道翻译等,近一个月内的被控制IP规模达到2.5万,其中包含100余个高校科研、政府公益单位的IP地址。通过溯源分析,相关攻击者通过仿冒火绒安全、Line聊天软件、有道翻译等官方网站,诱导用户下载运行的方式传播ValleyRAT木马。结合威胁情报、网络空间测绘、钓鱼网站的友情链接等数据,发现21个伪造的网站,其中12个仍然存活,包括huoronga.com、huorongsecurity.top、huorongpc.com、lineopc.com、youdaoq.com等。
防范建议:为避免不必要的损失,建议通过官方网站下载正版软件,尽量不打开来历不明的网页链接,不安装来源不明的软件,当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,并对受害主机进行清理。
