2020年第21期网络病毒监测

国家计算机病毒应急处理中心通过对互联网的监测，发现一款名为“Meh”的恶意软件正在大规模感染传播，每日可以监测到该恶意软件上千次感染行为。Meh是一种新型的密码窃取工具，在成功植入受害者主机后，它能够执行窃取剪贴板内容、键盘记录、加密货币钱包，以及通过种子下载其他文件等恶意功能，攻击者则通过窃取到的这些信息进一步获取经济利益。 Meh恶意软件于2020年6月首次被发现，是一款高度混淆的密码窃取工具，能够通过漏洞利用工具包、网络钓鱼攻击和捆绑合法软件（即与合法软件捆绑在一起下载的恶意软件）等多种方式进行传播。研究人员表示，这款恶意软件主要由两个部分组成： 第一部分是名为“MehCrypter”的加密程序，它是一个以随机生成的字符串作为前缀的AutoIt脚本，不同恶意软件样本中的随机字符串长度也有所不同，具有高度的混淆性。AutoIt解释程序通过扫描整个文件内容，找到“AU3!EA06”字符串后跳过全部前置字符，以确保随机字符串不会影响其恶意功能的执行。 第二部分是名为“Meh”的密码窃取程序，是该恶意软件的核心，能够实现窃取剪贴板内容、键盘记录、加密货币钱包，通过种子下载其他恶意软件等功能。该恶意程序的所有功能都在子线程中执行，这些子线程则是通过进程注入执行的。 通过上述信息可以判断该恶意软件在未来很长一段时间内仍会处于活跃状态。建议重要单位和具有涉外业务的企业提高安全意识，注意甄别电子邮件发件人的真实身份；同时使用最新版本的网络安全产品，防范由钓鱼邮件、捆绑合法软件等方式发动的网络攻击行为。