木马Formbook屡屡窃取用户重要机密 360安全大脑极智守护铸就铜墙铁壁 _机密

近日，360高级威胁研究分析中心，检测到一批疑似针对外贸等相关企业人员的钓鱼攻击活动。经分析，始作俑者是一种叫Formbook的窃密木马，自 2016 年初以来就开始在各种黑客论坛上开始出现销售。通过伪装为UNIVERSEPROSPERITY的散装邮件，该病毒最近在邮件钓鱼中传播。迄今为止，数百家国内外企业和个人受到这次攻击的影响，其中有国内大型物流公司。

【木马Formbook屡屡窃取用户重要机密 360安全大脑极智守护铸就铜墙铁壁】

通过分析相关日志，发现钓鱼邮件中携带的恶意压缩包的名称MVUNIVERSERPERITY.arj 。加载后，MVUNIVERSEPRERITY.arj解密ShellCode代码探索。shellcode代码检测执行环境(例如虚拟机、沙箱、调整环境等)通过后，将最终载荷Formbook加载执行。

值得注意的是，Formbook偷窃木马不仅隐藏狡猾，而且危害很大。FormBook不仅能够进行键盘记录、文本监控、浏览器和电子邮件客户端密码抓取、屏幕截图等一系列隐秘操作，还可以命令和控制服务器接收并执行一系列远程操作。通过构建FormBook功能的背景进行模拟，分析家发现可以提供的盗窃内容非常丰富，令人吃惊。

但是，很多用户也不必太担心。360大脑现在具有浏览器密码保护功能，可以对Formbook这样的秘密木马进行防御和杀戮。同时，360安全大脑还建议用户:

1、电子邮件:对于来源不明的电子邮件，提高警惕，不要轻易点击其中包含的任何链接、附件，可疑文件不要启用宏代码，如果在打开过程中发现任何警告信息

2、IM聊天工具:对于不知道的聊天对象和聊天组，请打开不要轻易接受或打开发送的文件、链接的文件扩展名称，打开文件前检查文件名称和扩展名称。

3、安装可靠的安全防护软件，对这种攻击进行全方位的安全检查和防护。