近日，瑞星威脅情報中心捕獲到AgentTesla竊密木馬病毒的新型變種，此次變種通過釣魚郵件進行傳播，誘導用戶解壓并運行附件中的木馬病毒，從而收集用戶瀏覽器、郵件、FTP、VPN、即時通訊等軟件賬號密碼，以及屏幕截圖、鍵盤擊鍵等信息。瑞星公司發(fā)現(xiàn)已有國內(nèi)金融企業(yè)被該病毒攻擊，在此提醒廣大用戶需提高警惕，目前瑞星ESM防病毒終端安全防護系統(tǒng)等產(chǎn)品均可攔截并查殺AgentTesla最新變種，用戶可通過該產(chǎn)品規(guī)避此類安全風險。

　　圖：瑞星ESM防病毒終端安全防護系統(tǒng)可查殺AgentTesla最新變種

　　據(jù)瑞星安全專家介紹，AgentTesla的前身是一款商業(yè)鍵盤記錄器,但在過去的數(shù)年里，該病毒早已從鍵盤記錄器變成了徹頭徹尾的竊密木馬病毒, 到目前為止其包含的功能主要有屏幕截圖、鍵盤記錄、竊取軟件憑證、剪貼板記錄等多種功能，并且可以通過Tor匿名網(wǎng)絡(luò)、電子郵件、FTP和HTTP等方式進行回傳。此次AgentTesla最新變種除竊密行為外還主要包括對安全防護軟件靜態(tài)掃描的對抗，其通過代碼混淆、數(shù)據(jù)加密等多種手段試圖繞過靜態(tài)掃描，阻礙安全人員對其樣本的分析。

　　圖：攻擊流程圖

　　經(jīng)過分析發(fā)現(xiàn)，AgentTesla最新變種被攻擊者通過釣魚郵件投遞至用戶郵箱，隱藏在郵件附件的Zip中，并偽裝成Word文檔默認圖標，以此誘惑用戶解壓運行，一旦該病毒被運行，就會自我復(fù)制，設(shè)置注冊表自啟動項，隨后收集該用戶瀏覽器、郵件客戶端、屏幕截圖、記錄鍵盤擊鍵等信息，最后還會通過郵件回傳到攻擊者郵箱。目前，已知AgentTesla最新變種竊取的瀏覽器、郵件客戶端、FTP客戶端、VNC客戶端包括：

　　由于已有國內(nèi)金融企業(yè)遭到了AgentTesla最新變種的威脅，在此瑞星公司提出以下幾點防范建議：

　　不打開可疑文件。

　　不打開未知來源的可疑文件和郵件，防止社會工程學和釣魚攻擊。

　　部署網(wǎng)絡(luò)安全態(tài)勢感知、預(yù)警系統(tǒng)等網(wǎng)關(guān)安全產(chǎn)品。

　　網(wǎng)關(guān)安全產(chǎn)品可利用威脅情報追溯威脅行為軌跡，幫助用戶進行威脅行為分析、定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點，幫助企業(yè)更快響應(yīng)和處理。

　　安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。

　　殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。

　　及時安裝系統(tǒng)補丁和重要軟件的補丁。

　　許多惡意軟件經(jīng)常使用已知的系統(tǒng)漏洞、軟件漏洞來進行傳播，及時安裝補丁將有效減小漏洞攻擊帶來的影響。