近日，瑞星威脅情報(bào)中心捕獲到AgentTesla竊密木馬病毒的新型變種，此次變種通過(guò)釣魚(yú)郵件進(jìn)行傳播，誘導(dǎo)用戶(hù)解壓并運(yùn)行附件中的木馬病毒，從而收集用戶(hù)瀏覽器、郵件、FTP、VPN、即時(shí)通訊等軟件賬號(hào)密碼，以及屏幕截圖、鍵盤(pán)擊鍵等信息。瑞星公司發(fā)現(xiàn)已有國(guó)內(nèi)金融企業(yè)被該病毒攻擊，在此提醒廣大用戶(hù)需提高警惕，目前瑞星ESM防病毒終端安全防護(hù)系統(tǒng)等產(chǎn)品均可攔截并查殺AgentTesla最新變種，用戶(hù)可通過(guò)該產(chǎn)品規(guī)避此類(lèi)安全風(fēng)險(xiǎn)。

　　圖：瑞星ESM防病毒終端安全防護(hù)系統(tǒng)可查殺AgentTesla最新變種

　　據(jù)瑞星安全專(zhuān)家介紹，AgentTesla的前身是一款商業(yè)鍵盤(pán)記錄器,但在過(guò)去的數(shù)年里，該病毒早已從鍵盤(pán)記錄器變成了徹頭徹尾的竊密木馬病毒, 到目前為止其包含的功能主要有屏幕截圖、鍵盤(pán)記錄、竊取軟件憑證、剪貼板記錄等多種功能，并且可以通過(guò)Tor匿名網(wǎng)絡(luò)、電子郵件、FTP和HTTP等方式進(jìn)行回傳。此次AgentTesla最新變種除竊密行為外還主要包括對(duì)安全防護(hù)軟件靜態(tài)掃描的對(duì)抗，其通過(guò)代碼混淆、數(shù)據(jù)加密等多種手段試圖繞過(guò)靜態(tài)掃描，阻礙安全人員對(duì)其樣本的分析。

　　圖：攻擊流程圖

　　經(jīng)過(guò)分析發(fā)現(xiàn)，AgentTesla最新變種被攻擊者通過(guò)釣魚(yú)郵件投遞至用戶(hù)郵箱，隱藏在郵件附件的Zip中，并偽裝成Word文檔默認(rèn)圖標(biāo)，以此誘惑用戶(hù)解壓運(yùn)行，一旦該病毒被運(yùn)行，就會(huì)自我復(fù)制，設(shè)置注冊(cè)表自啟動(dòng)項(xiàng)，隨后收集該用戶(hù)瀏覽器、郵件客戶(hù)端、屏幕截圖、記錄鍵盤(pán)擊鍵等信息，最后還會(huì)通過(guò)郵件回傳到攻擊者郵箱。目前，已知AgentTesla最新變種竊取的瀏覽器、郵件客戶(hù)端、FTP客戶(hù)端、VNC客戶(hù)端包括：

　　由于已有國(guó)內(nèi)金融企業(yè)遭到了AgentTesla最新變種的威脅，在此瑞星公司提出以下幾點(diǎn)防范建議：

　　不打開(kāi)可疑文件。

　　不打開(kāi)未知來(lái)源的可疑文件和郵件，防止社會(huì)工程學(xué)和釣魚(yú)攻擊。

　　部署網(wǎng)絡(luò)安全態(tài)勢(shì)感知、預(yù)警系統(tǒng)等網(wǎng)關(guān)安全產(chǎn)品。

　　網(wǎng)關(guān)安全產(chǎn)品可利用威脅情報(bào)追溯威脅行為軌跡，幫助用戶(hù)進(jìn)行威脅行為分析、定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點(diǎn)，幫助企業(yè)更快響應(yīng)和處理。

　　安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。

　　殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶(hù)不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運(yùn)行，保護(hù)用戶(hù)的終端安全。

　　及時(shí)安裝系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)丁。

　　許多惡意軟件經(jīng)常使用已知的系統(tǒng)漏洞、軟件漏洞來(lái)進(jìn)行傳播，及時(shí)安裝補(bǔ)丁將有效減小漏洞攻擊帶來(lái)的影響。