根據(jù)CheckPoint的最新報告，過去三周全球新域名注冊數(shù)量同比增長十倍，其中與新冠病毒有關的新增注冊域名中，有超過50%都與惡意軟件活動有關，新冠病毒相關網(wǎng)絡釣魚和惡意軟件傳播活動，正在全球瘋狂肆虐，而國內企業(yè)和個人對此缺乏足夠的關注和警覺，這是非常危險的。

近日聚銘網(wǎng)絡安全捕獲了一個通過新冠病毒主題釣魚電子郵件傳播的木程序馬，以下是分析報告原文：

自進入2020年以來，全國乃至世界各個國家和地區(qū)都籠罩在新型冠狀病毒的陰影之下，令人感到恐懼和彷徨；固然，新冠病毒是現(xiàn)實世界中的活著的病毒，但在虛擬的網(wǎng)絡世界中也有如新冠病毒一樣的具有高危險性的惡意代碼，特別是近期在網(wǎng)絡上存在非常多的、別有用心的組織或人員，充分利用此次全球性的重大公共衛(wèi)生事件，使用多種手段特別是“社工”方法對相關目標發(fā)起攻擊，造成計算機系統(tǒng)的大面積感染或者信息泄露，從而牟取政治和經(jīng)濟利益，以及其它不可告人的目的。

以下是從實際產(chǎn)品中捕獲的一個利用新冠病毒通過郵件釣魚獲取的惡意軟件樣本，據(jù)說它來自于一個非常高級的APT組織，樣本首次捕獲時間是2020年3月17日，以下是相關情況。

首先它會生成一個偽造的PDF文件（看上去和正常的PDF文檔無甚區(qū)別），但實際上是一個Windows的鏈接文件，如下圖所示（包括相關文檔的摘要信息） ：

圖1 鏈接文件相關信息

打開文件后，可以看到經(jīng)過編碼后的負載信息：

圖2 lnk文件內容

經(jīng)過解碼后，可以看到文中中包含了如下內容：

圖3 lnk文件解碼內容（進行了一定的混淆）

從中可以看到攻擊者會拷貝自身證書工具（ertu.exe）以替換系統(tǒng)工具，便于躲避沙箱等工具對于文件簽名的檢查（許多沙箱工具會驗證文件簽名的合法性）。

其次，它會釋放一個CAB文件，包含如下內容：

·20200308-sitrep-48-covid-19.pdf.

·3UDBUTNY7YstRc.tmp.

·PE32 Executable file (DLL) 486AULMsOPmf6W.tmp.

·PE32 Executable (GUI) 9sOXN6Ltf0afe7.js.

·Javascript file (called by .lnk) cSi1r0uywDNvDu.tmp.

·XSL StyleSheet Document MiZl5xsDRylf0W.tmp.

其中，9sOXN6Ltf0afe7.js文件會執(zhí)行WScript.Shell用于運行Windows命令；這個文件經(jīng)過反混淆處理后的指令內容如下：

圖4 反混淆后的指令

然后，它會打開一個Excel文件（其中包含了VBScript,可以通過cscript執(zhí)行）；其加密方式就是簡單的異或算法。

圖5 VBScript腳本內容（加密混淆）

經(jīng)過一定的方式計算后可得到其解密的邏輯（紅色部分是其異或的值，就是0）：

圖6 解密循環(huán)邏輯

解密后的腳本大致如下：

圖7 解密后的腳本

此惡意軟件通過一系列變化和執(zhí)行，可以看出它實際上是一個全功能的遠程控制木馬，包括文件上傳/下載/修改、鍵盤記錄、攝像頭控制以及遠程執(zhí)行cmd.exe等。

通過分析這個惡意軟件（實際上是一個遠控木馬，即RAT），在這里需要特別鄭重地提醒各位計算機用戶，不要因為好奇心或者其它原因查看、點擊來歷不明的文件，從而被黑客所控制，導致不必要的風險或者數(shù)據(jù)的泄露、損失。