国家计算机病毒应急处理中心通过对互联网的监测发现,近日出现一个新版本的跨平台远程访问木马Trojan.Maljava,该恶意程序可在FreeBSD、OpenBSD、 OSX、Solaris、 Linux、Windows以及Android等多个平台运行,体现了其跨平台的特性。此版本的木马恶意程序使用了新技术来逃避解析和检测,并通过在恶意JAR文件之前预先添加损坏的MZ文件来防止自身被逆向工程。其攻击过程是从向受害者发送以财务为主题的垃圾邮件开始,并使用社交工程技术,诱骗受害者打开恶意JAR文件附件,此文件带有MZ标头和两个损坏的MZ文件,目的为逃避MZ和Java解析器的解析和逆向工程。同时,Java能够加载和执行此JAR文件,从中看出其配置文件使用AES加密,并且密钥文件可见,在随Windows系统启动而运行后,执行并连接到C&C服务器中,使用WMIC接口来识别受感染计算机上安装的防病毒产品和防火墙详细信息。该新版本跨平台远程访问木马恶意程序拥有捕获屏幕截图、播放音频、下载和执行文件、进出文件的I/O、记录击键等功能,进而可以实现获取机密信息的目的。该恶意软件攻击目标主要针对金融领域,服务业、通信、酒店、政府和能源等领域也受到了攻击。
针对该木马恶意程序所造成的危害,建议用户安装安全防护软件,并及时更新病毒库样本。建议用户谨慎打开包含JAR附件的关于金融交易的电子邮件,避免遭受该木马恶意程序的感染,造成不必要的损失。