近期，金山毒霸安全实验室捕获到一类木马病毒非常活跃，用户反馈较多，感染量比较广。国外5月份感染量达到30万，并且呈现上升趋势，到7月份感染量，已经达80万之多。国内用户也频繁中招，此病毒通过伪造邮件传播，诱导用户点击链接，下载含有恶意宏病毒的Office文件，一旦用户执行此宏文件，则会下载病毒作者云端的可执行文件，当然此云端文件可以根据作者的需求随时做修改，它真正的攻击模块都是可变的，是基于一个庞大的僵尸网络系统。

       此次攻击者利用了大量的已经被攻陷的肉机来做中转站，出现大量的僵尸网络。根据这个病毒的家族史来看，僵尸网络一向就是他们的核心利用点，以下只是这个病毒家族利用过的网络域名，但这仅仅是九牛一毛。

1.png(37.11 KB, 下载次数: 0)

下载附件 保存到相册

3 天前上传

病毒下载流程图：

执行流程图：

    此病毒利用宏，解密CMD命令并且执行后又动态解密一段powershell进行下载执行其僵尸网络配置的可执行程序。具体病毒流程：

恶意邮件：

    此邮件，包含一个恶意链接，只要用户点击，就会从云端下载一个含有恶意宏病毒的Word文件。

恶意Word宏文件：

首先进入Document_open() 函数：

宏会依次解密出CMD命令：

解密得到一个CMD命令，也是简单混淆过的，再次解密后如下：

CMD解密后的作用是调用Powershell，进行下载执行，到此一个前期传播下载的功能就执行完毕了。

    下载后宿主程序会分配内存，并且解密一个PE文件（A）到已分配好的内存中，并且加载它，当A程序执行的时候，又会释放一个PE文件（B）,当然还在宿主程序内存空间中，与之同时还会释放shellcode，所有的业务核心代码都在shellcode里面执行，外围的只是一个loader作用，目的是来隐蔽自己，绕过杀软。

    前期的花式loader都是为了隐蔽自己，其核心功能在shellcode中，会发送用户的信息，并以Cookie方式提交到作者的肉机服务器。

    从这次病毒木马来看，病毒作者团队高手芸芸，攻陷了全球各地网站服务器，网站模板CMS系统各式各样都有，包括Wordpress ， joomla-cms 等等，其中包括学校机构，企业，当然还有各种网络设备。

       那么病毒团队制作出全球性，庞大的僵尸网络，仅仅就是用了配合垃圾邮件提供下载作用吗？Too young Too Simple.僵尸网络还有其它更重要的作用：

1、DDOS:利用连接到僵尸网络的僵尸主机，可以向特定主机发动拒绝服务攻击。

2、监控：僵尸主机也可以被用于监控和“嗅探”数据，如用户名和密码。

3、欺诈：顾名思义，可以做一系列的钓鱼网站，引诱用户，并且盗取其账号密码。

4、控制：控制自己的客户端的木马病毒，监控用户。

       ……

       庞大的服务器沦陷，极有可能涉及到国内的企业，学校，ZF的服务器。金山毒霸安全专家提议：

1、及时升级网站CMS程序。

2、及时更新系统补丁。

3、修改弱密码，以防止暴力破解。

4、防止恶意邮件，钓鱼网站等等。

5、提高安全意识，防火，防盗，防社工。

总结：

         平时上网时，不要打开不明邮件，更不要下载其内容；不要打开不明邮件，更不要下载其内容；本地Office软件最好禁止宏的自动加载，避免不小心打开含有恶意宏病毒的Office文档；电脑安装金山毒霸进行实时防御，查杀。企业，学校，ZF更要防护好自己的服务器，不要做别人的傀儡。

（金山毒霸检出此类病毒截图）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课