近日，瑞星威脅情報(bào)中心捕獲到疑似國(guó)內(nèi)病毒團(tuán)伙利用HFS服務(wù)器傳播病毒的證據(jù)。經(jīng)分析發(fā)現(xiàn)，此次傳播的病毒有數(shù)個(gè)，其中點(diǎn)擊量最高的已經(jīng)過(guò)萬(wàn)，病毒不僅會(huì)偽裝成游戲，還會(huì)釋放后門及遠(yuǎn)控木馬，因此廣大用戶需提高警惕。

圖：病毒團(tuán)伙IP地址下的多個(gè)惡意文件

通過(guò)瑞星HFS服務(wù)器監(jiān)控平臺(tái)可以看出，此次事件中的病毒團(tuán)伙利用的IP地址為：119.91.152.xxx:4442，因此猜測(cè)該團(tuán)伙為國(guó)內(nèi)組織。而在這個(gè)HFS服務(wù)器下，存有多個(gè)惡意文件，其中“srys.exe”文件的點(diǎn)擊量已經(jīng)過(guò)萬(wàn)，不止釋放Farfli后門程序，還釋放DarkKomet遠(yuǎn)控木馬。同時(shí)，該IP地址下的“夢(mèng)回沉默M2.exe”、“12_32.exe”和“syswqa.exe”等文件，有的會(huì)偽裝成游戲迷惑用戶，有的會(huì)訪問(wèn)惡意地址，而最終均會(huì)釋放“srys.exe”程序。

圖：瑞星HFS服務(wù)器監(jiān)控平臺(tái)檢測(cè)到帶有惡意文件的IP地址

瑞星安全專家介紹，病毒團(tuán)伙是利用HFS服務(wù)器地址傳播惡意程序的，無(wú)論是點(diǎn)擊該IP地址下哪個(gè)程序，最終都會(huì)被指向“srys.exe”，而這個(gè)點(diǎn)擊量已經(jīng)過(guò)萬(wàn)的惡意程序，不僅開(kāi)啟后門程序，還會(huì)對(duì)受害主機(jī)進(jìn)行控制桌面、記錄鍵盤、截取屏幕、盜取文件及其他遠(yuǎn)程控制等操作。

由于HFS服務(wù)器能夠共享文件，任何人都可以訪問(wèn)，因此其危害范圍較廣，國(guó)內(nèi)用戶應(yīng)提高警惕，加強(qiáng)防范意識(shí)，避免受到波及。同時(shí)，瑞星安全專家建議廣大用戶做到以下兩點(diǎn)：

1. 部署EDR、NDR類產(chǎn)品。

可利用威脅情報(bào)追溯威脅行為軌跡，幫助用戶進(jìn)行威脅行為分析、定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點(diǎn)，幫助企業(yè)更快響應(yīng)和處理。

2. 安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。

殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運(yùn)行，保護(hù)用戶的終端安全。

圖：瑞星ESM防病毒終端安全防護(hù)系統(tǒng)查殺此次事件中的病毒

關(guān)鍵詞：