幽虫、独狼、双枪、紫狐、贪狼是我们曾多次预警盘点、猖獗一时的病毒家族,最高峰值时感染用户或接近4000万。它们锁定浏览器、刷量、挖矿、捆绑安装,让不慎中毒的网友不堪其扰。
4月29日,腾讯安全发布最新公告,“官宣”了一个惊人发现:“幽虫、独狼、双枪、紫狐、贪狼,这5个在国内持续活跃、影响恶劣的病毒家族,背后竟然是由同一个不法黑客组织操控!
”错综复杂的“入侵史”
自诞生之初,作恶团伙便上演着一幕幕错综复杂的“入侵史”。
“狼人杀”木马于2016年12月最早走进网民视线,凭借难感知、难检测、难查杀等显著特征,成功骗过当时几乎所有安全软件的检测和查杀,一度感染数十万台电脑。
在2018年下半年,这个超大病毒木马家族呈现集中爆发态势。16月22日,“独狼”病毒借助盗版Ghost系统锁定超过20款浏览器主页;28月3日,迭代后的“贪狼”病毒顺应黑产潮流加入“挖币”大军;38月31日,“双枪”木马目标对准游戏外挂玩家,强推开心输入法锁定用户主页;49月18日,“紫狐”木马诞生,短时间感染至少超3万用户;10月22日,“幽虫”木马借助游戏辅助工具传播“双枪”、“紫狐”等木马病毒……
(图:“独狼”病毒劫持的浏览器页面)
其中,去年7-8月为病毒活跃高峰期,被感染的电脑在3000-4000万台之间。同时,受害者分布在全国各地,以广东、山东、江苏等地区受害最为严重。
(图:病毒木马传播趋势)
攻击手法:
病毒界“狗皮膏药”一般的存在
幽虫、独狼、双枪、紫狐、贪狼五大木马病毒家族攻击手法一脉相承。
综合分析发现,这些木马病毒主要利用盗版Ghost系统、激活破解工具、热门游戏外挂等渠道传播,在用户电脑上安装Rootkit后门,然后通过云端控制下载木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等多种主流黑产变现手段牟利。
从2018年出现的“双枪2”到集中爆发的“独狼”病毒,该团伙依靠隐蔽性强、反复感染、难以查杀的特点,犹如顽疾一般“纠缠”在用户电脑中,网银、账号密码、个人隐私……完全落入黑客团伙的魔掌之中。
“变形金刚”对抗“安全大脑”
谁更棋高一着?
由于这些病毒在用户安装盗版Ghost系统、使用游戏辅助软件时就潜伏其中,这样一来可轻易获取系统底层权限,阻截杀毒软件的查杀,并随时在中招电脑上执行任意代码操作,给安全厂商检测和查杀带来一定的难度。
然而,再高超的作案手法也会留下蛛丝马迹。腾讯安全团队依据腾讯安全大脑能力,对双枪、紫狐、幽虫和独狼系列木马进行深度追踪、研究判断,在掌握不法分子的攻击手段之后,最终被聚类到同一家族——T-F-8656。
(图:T-F-8656家族3D可视化展示)
腾讯安全大脑从家族T-F-8656中筛选出部分关键节点,并使用3D模式进行可视化展示,发现幽虫、独狼、双枪、紫狐以及关联到的盗号、恶意推装木马之间联系极其紧密,层次清晰。同时,各个木马家族之间分工明确,环环相扣,组成了一个完整的黑色产业闭环,像是经过精心设计的结构。
与此同时,安全专家从作案手法方面展开分析,也佐证这一事实。经分析,双枪和贪狼病毒系出自同一作者之手,病毒作者疑似与贵阳市某云世纪科技有限公司之间存在明显相关性。目前,该公司旗下的多个站点已变成博彩网站,病毒作者极有可能在获得丰厚收益之后,暂时转行避风,以此逃避网安机构的追查。
专家支招:
来势汹汹的木马病毒,如何防御?
截至目前,在全国范围内仍有200-300万台电脑被该团伙控制。庞大的数量背后,更凸显防御的价值所在。
目前,腾讯安全旗下的腾讯电脑管家、腾讯御点终端安全管理系统均可强力拦截并查杀以上病毒,同时腾讯安全技术专家也为用户做出一些应对之策,包括:
1、不要下载运行各类外挂辅助、违规类等具有高风险的软件应用;
2、不要退出或关闭杀毒软件,需保持腾讯电脑管家等主流安全软件的实时运行状态;
3、杀毒软件报毒的激活破解工具需停止使用,以防不法黑客发动攻击;
4、推荐使用正版操作系统,及时修复补丁和安全漏洞,降低安全风险。