高隱蔽性木馬FakeTelegram粉墨登場 360安全衛士強力查殺鑄就安防堤壩

電腦360安全衛士怎麼退出

近日，360安全衛士團隊接到使用者反饋，其從Discord上下載的Telegram通訊軟體疑似存在木馬病毒，導致檔案下載、線上聊天、鍵盤錄入等操作都“有點不對勁兒”。經及時響應持續跟進，360安全衛士團隊最終發現了一種偽裝成Telegram通訊軟體安裝包進行攻擊的病毒木馬，並根據傳播方式將其命名為——FakeTelegram。

披上Telegram馬甲隱蔽性強

據悉，這種新型木馬會下載合法的Telegram安裝包進行安裝，以掩蓋暗中的惡意行為，並透過RDP服務實現駐留，然後伺機執行啟動長期後門，記錄鍵盤輸入、掃描瀏覽器密碼等操作，潛在威脅極大。不過，廣大使用者也無需過於擔心，只需及時下載安裝360安全衛士，便可在第一時間監測、查殺這種木馬。

之所以說FakeTelegram威脅巨大，主要是基於其傳播渠道的特殊性。根據360安全大腦的監測結果，該木馬被託管於Discord CDN伺服器。而Discord是一款主要面向遊戲玩家的流行聊天通訊軟體，使用者量逐年增加。而且，由於向Discord上傳的附件可被所有人下載，使用者之間的檔案分享和傳輸快速便捷等特點，同樣也引起了網路犯罪人員的注意。隨之而來的就是大量惡意軟體被託管於Discord的CDN伺服器以提供給木馬遠端下載。

潛蹤匿影高段位攻擊防禦難度大

從360安全大腦監測和記錄的攻擊流程來看，從連結下載回來的“安裝包”會使用C#語言進行編寫，並透過程式圖示偽裝成Telegram安裝程式的32位檔案。為了更好地偽裝自身，還盜用了Telegram合法軟體簽名Telegram FZ-LLC，不過從檔案屬性中可以看到該簽名實際無效。為了躲避檢測，程式中大量敏感字串還進行了Base64編碼，執行時才會解碼。

而且，虛假安裝包木馬還會獲取本地機器的MAC地址，匹配自身攜帶的地址庫（共含13345個MAC地址），若在列表中則不進行感染。為了避免重複感染，程式還會透過確認檔案%LocalAppData%\ASUNCB-dcBdklMsBabnDBlU是否存在來判斷當前機器是否已被感染過，若確認已感染便會退出並自我刪除，否則便建立該檔案並繼續執行後續操作。接著訪問網址 hxxps：//www。google。com/，確認網路可用，否則持續等待，直至訪問響應成功。

為了攻擊過程的順利進行，木馬透過修改登錄檔鍵值的方式降低系統的防禦能力，讓使用者對攻擊過程無感知。然後從Telegram官方下載正常的Telegram安裝程式到目錄 %LocalAppData% 下，以管理員許可權執行合法安裝程式，完成安裝包原本的工作。最後，建立兩個bat檔案 %TEMP%\\Action。bat、%TEMP%\\Remove。bat，寫入batch命令並執行指令碼。Action。bat執行後續攻擊流程，Remove。bat則完成自我刪除。

暗中載入後門木馬威脅程度高

在這些指令碼中，Get-Content。ps1作為最後執行的指令碼，負責完成後門程式的釋放和駐留操作。首先，指令碼判斷當前指令碼執行環境是否擁有管理員許可權，有則執行後續操作，沒有則嘗試以管理員身份重新執行start。vbs。此外，該指令碼還會嘗試繞過系統UAC的防護。成功後繞過防護後，指令碼開始準備釋放後門dll，涉及到的服務為termservice。

TermService服務啟動後，會載入一款名為ServHelper後門木馬。該木馬使用Delphi語言進行開發，通常以dll形式出現，並使用PECompact進行加殼，以劫持RDP服務的方式完成在受害機器上的駐留。此次攻擊釋放的木馬檔案中大部分敏感字串均進行了加密，解密金鑰為“RSTVWVDJ”。

執行後，ServHelper會連線C2：

hxxps：//jfuag3。cn/figjair/b。php，根據收到的命令執行相應操作。其共支援32條指令：包括使用者建立、檔案下載、遠控工具配置、鍵盤記錄、會話通道控制等功能。解密出的字串，含有各項命令涉及的URL、登錄檔項、命令列、檔案路徑等。

360安全衛士利劍出擊定向查殺

目前，在360安全大腦的強勢賦能下，360安全衛士等系列產品可在第一時間攔截查殺此類木馬威脅。同時，面對詭詐多變的木馬威脅，360安全大腦還針對使用者安全下載，給出如下安全建議：

1。使用者在下載安裝軟體時，可優先透過軟體官網、360軟體管家查詢安裝，以此來避免在不正規下載站下載後導致的惡意捆綁和故障。

2。受到藍色畫面波及的使用者，可及時前往weishi。360。cn下載安裝360安全衛士，強力查殺此類病毒木馬。

3。提高安全意識，不隨意開啟陌生人發來的各種檔案，如需開啟務必驗證檔案字尾是否與檔名符合。