一、概述

近期，國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)和安天聯(lián)合監(jiān)測到一批偽裝成CorelDraw、Notepad++、IDA Pro、WinHex等多款實用軟件進行傳播的竊密木馬。通過跟蹤監(jiān)測發(fā)現(xiàn)其每日上線境內(nèi)肉雞數(shù)（以IP數(shù)計算）最多已超過1.3萬，由于該竊密木馬會收集瀏覽器書簽、郵箱賬戶等信息，故將其命名為“魔盜”。

攻擊者利用“cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域名建立多個軟件下載頁面，用于投放偽裝成實用軟件的“魔盜”竊密木馬。竊密木馬運行后會收集受害者主機中已安裝的軟件列表與多款瀏覽器的歷史記錄、書簽數(shù)據(jù)和郵件客戶端郵箱賬戶信息，并加密回傳至攻擊者服務(wù)器。惡意程序具備在線升級能力，注意防范以免造成更大損失。

二、 防范建議

請全校師生強化風(fēng)險意識，加強安全防范，主要建議包括：

（1）建議通過官方網(wǎng)站統(tǒng)一采購、下載正版軟件。如無官方網(wǎng)站建議使用可信來源進行下載，下載后使用反病毒軟件進行掃描并校驗文件 HASH。

（2）盡量不打開來歷不明的網(wǎng)頁鏈接，不要安裝來源不明軟件。

（3）加強口令強度，避免使用弱口令，密碼設(shè)置要符合安全要求，并定期更換。建議使用 16 位或更長的密碼，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時避免多個服務(wù)器使用相同口令。

（4）梳理已有資產(chǎn)列表，及時修復(fù)相關(guān)系統(tǒng)漏洞。

（5）安裝終端防護軟件，定期進行全盤殺毒。

（6）當(dāng)發(fā)現(xiàn)主機感染僵尸木馬程序后，請立即上報學(xué)校。