雷鋒網(wǎng)注：本文轉載自火絨安全。

日前，火絨工程師接到某公關公司求助，稱在未安裝火絨的情況下，員工所用企業(yè)郵箱被盜，并向其服務的多個客戶發(fā)送帶有病毒附件的郵件?；鸾q工程師根據(jù)該公司提供的郵件及病毒附件分析發(fā)現(xiàn)，這是一起有預謀的、針對特定企業(yè)進行的APT類攻擊（高級可持續(xù)性攻擊）。附件文檔內(nèi)容并非公司員工編寫，并經(jīng)過精心設計，可以看出攻擊者對該公司及其所服務客戶工作時間、習慣以及業(yè)務等都極其熟悉。

火絨工程師分析，病毒郵件附件為一個壓縮包，內(nèi)有偽裝成Word文檔的病毒程序（木馬下載器），誘騙用戶點擊。一旦病毒被執(zhí)行，首先會釋放一個與病毒同名的真實的Word文檔，并同時將自己隱藏到其它目錄中，且可以隨開機自行啟動。

偽裝成Word的病毒程序

隱藏的病毒主要實施兩種行為：一是搜集被攻擊的電腦系統(tǒng)版本和安裝的安全軟件信息，發(fā)送至病毒遠程服務器；二是從遠程服務器中下載其它病毒到本地執(zhí)行。由于該企業(yè)求助火絨分析病毒郵件時，距離被攻擊時間已有兩周，其遠程服務器已經(jīng)無法下載病毒模塊，但依舊處于開啟狀態(tài)，不排除后續(xù)派發(fā)其它病毒到本地執(zhí)行的可能性。

而值得一提的是，該病毒入侵電腦后還會關閉趨勢安全軟件，該軟件為多數(shù)日企所用，這近一步表明攻擊者精準的了解攻擊目標，而非盲目攻擊。

最后，針對此類精準、持續(xù)的郵件攻擊，建議廣大企業(yè)用戶：

及時尋求安全公司的幫助，查詢病毒來源、去處以及危害，并及時清除病毒，加強安全防護，比如定期修改郵箱密碼；而對于收件方，如果已經(jīng)執(zhí)行了病毒附件，也需要聯(lián)系安全廠商進行全面排查，防止黑客入侵。此外，還可以安裝靠譜安全軟件定期殺毒，并開啟相關防御功能。

附【事件相關樣本分析】：

某公關顧問公司發(fā)現(xiàn)有部分企業(yè)郵箱對該公司客戶發(fā)送帶有惡意附件的郵件，附件包含的文檔格式經(jīng)過精心設計，內(nèi)容非公關公司員工編寫，對客戶的投放較為精準，且對雙方企業(yè)構成、業(yè)務、工作習慣較為熟悉，帶有明顯的APT攻擊痕跡。

用戶提供的惡意郵件附件為一個壓縮包，壓縮包中包含有偽裝成Word文檔的病毒程序（通過插入Unicode RLO控制符改變文件名的顯示順序），誘騙用戶點擊執(zhí)行。

病毒主要惡意行為：

1、遍歷進程，查找PC-cillin安全軟件相關程序”pccnt.exe”并結束。

2、解密用于欺騙用戶的Word文檔到病毒當前的目錄下，并打開。

3、將自身移動到%Temp%目錄下，更名為avirra.exe，之后將新的文件路徑添加注冊表啟動項。（HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ravirra）

4、使用主機的用戶名、MAC地址作為標識，并收集主機的系統(tǒng)版本和安裝的安全軟件信息后，將兩段數(shù)據(jù)簡單加密拼接發(fā)送至病毒服務器。（hxxp://180.150.xxx.xxx/ser.php）。

5、從地址hxxp://180.150.xxx.xxx/cbook.jpg下載相關文件解密后執(zhí)行。下載和解密的相關下載代碼，如下圖所示：

6、以上分析可以證明該病毒屬于攻擊的前期階段，后續(xù)攻擊會根據(jù)病毒服務器的返回的數(shù)據(jù)做進一步滲透。

企業(yè)聯(lián)系火絨提取郵件時，距離郵件發(fā)送已超過兩個星期， C&C服務器已經(jīng)無法請求到病毒相關模塊。但該服務器的Web服務依然處于發(fā)布狀態(tài)，不排除將來下發(fā)其他病毒模塊到被入侵計算機執(zhí)行的可能性。

建議企業(yè)在發(fā)生安全事件時，及時與安全公司取得聯(lián)系，尋求對樣本分析、事件溯源和安全技術的支持。

雷鋒網(wǎng)從火絨了解到，此次安全事件中，如果收件方已經(jīng)執(zhí)行了郵件附件的情況下，也需要聯(lián)系安全廠商對企業(yè)內(nèi)網(wǎng)進行檢測，不排除黑客已經(jīng)入侵到公司內(nèi)網(wǎng)的可能。

雷鋒網(wǎng)注：本文轉載自火絨安全。