近期,“火絨威脅情報系統”截獲到一款名為HellohaoOCR_V3.1的圖像識別程序攜帶後門病毒Gh0st,推測正通過供應鏈汙染的方式進行傳播。用戶運行該程序後,就會激活後門病毒。病毒可以接受遠程服務器指令,執行下載其它病毒、提升權限、刪除日誌等惡意行為。更為關鍵的是,由於大量的下載站和技術類論壇(如下圖)提供該程序的下載,導致病毒正在被進一步擴散。
建議近期在上述下載站和論壇下載過該程序的用戶及時排查是否感染病毒。火絨用戶無需擔心,火絨安全軟件無需升級即可查殺該病毒。
隨後,火絨工程師找到並聯繫了該程序的作者,得知其使用了第三方的易語言模塊進行編程,但對程序帶毒並不知情。結合分析結果,火絨工程師推測為易語言模塊遭供應鏈汙染導致。最終,經過溯源取證,火絨工程師基本確認了該後門病毒的作者以及作案手法:通過易語言外掛交流群等平臺散播含有後門的病毒模塊,以感染編譯環境的方式達到供應鏈汙染的目的。(詳情見分析報告部分)
火絨工程師表示,與此次作案手法類似的還有去年的“微信支付”勒索病毒。供應鏈汙染一直都是病毒傳播的一大手段,而下載站也逐漸成為了病毒分發的主要平臺,火絨對相關供應鏈汙染與下載站傳播各類病毒曾進行多次披露。在此,我們再一次呼籲,廣大開發人員在使用第三方模塊時,儘量通過正規渠道獲取,並及時檢查其安全性;各大下載站管理人員對上傳文件加強審核,阻止病毒傳播,為用戶共同營造良好的網絡環境。
附:【分析報告】
分享到:
閱讀更多 火絨安全實驗室 的文章
