国家计算机病毒应急处理中心通过对互联网的监测,发现名为“月光”(MoonLight)的蠕虫感染量呈上升趋势。该蠕虫可实现远程控制、组建僵尸网络等恶意操作,同时会利用被感染主机针对指定目标网站执行DDos攻击。
该蠕虫主要通过电子邮件、文件共享以及可移动磁盘等途径进行传播。攻击者将病毒伪装成以“**课件”、“打印**”等命名的屏幕保护程序文件(.scr文件)进行传播,主要用于迷惑高校师生,目前我国教育、信息技术、科研及技术服务等领域已遭受到影响。该虫在运行后首先会将自身拷贝至系统目录、临时文件目录、注册表Run启动项和全局启动目录等,使用的文件名包括固定名称和随机生成的名称。同时,该病毒将自身添加到开机启动项、映像劫持、exe/scr文件关联等位置,以确保在系统启动时自动执行并防止被删除。传播过程中,该病毒将自身拷贝至包含“download”、“upload”、“share”等字符的文件夹中以感染网络共享文件夹;将自身以文件夹图标的形态拷贝至可移动磁盘中,以迷惑用户双击打开运行;该病毒还尝试将自身的副本发送到从受感染主机中搜索获取的电子邮件地址,并使用自带的SMTP邮件引擎猜测收件人电子邮件服务器,在目标域名前面加上特定字符,构造虚假的邮件正文和邮件附件名称,诱使被害者点击打开后下载恶意文件。在成功感染后还会利用被感染主机针对特定的目标网站执行DDoS攻击,并通过远程控制被感染主机获取系统文件和目录、创建和执行程序、获取键盘输入内容等。
该蠕虫具有较强的局域网传播感染能力,对我国高校、信息等行业形成较大的潜在威胁。建议我国相关领域用户提高安全防范意识,增强针对该病毒的安全防范措施,一是确保安装并检查杀毒软件状态,保持实时监控功能和病毒特征库更新;二是使用杀毒软件对U盘、移动硬盘等可移动磁盘进行扫描;三是排查内部网络,关闭不必要的文件共享;四是切勿打开不明来历的邮件附件文件及链接等。