近期,“火绒威胁情报系统”截获到一款名为HellohaoOCR_V3.1的图像识别程序携带后门病毒Gh0st,推测正通过供应链污染的方式进行传播。用户运行该程序后,就会激活后门病毒。病毒可以接受远程服务器指令,执行下载其它病毒、提升权限、删除日志等恶意行为。更为关键的是,由于大量的下载站和技术类论坛(如下图)提供该程序的下载,导致病毒正在被进一步扩散。
建议近期在上述下载站和论坛下载过该程序的用户及时排查是否感染病毒。火绒用户无需担心,火绒安全软件无需升级即可查杀该病毒。
随后,火绒工程师找到并联系了该程序的作者,得知其使用了第三方的易语言模块进行编程,但对程序带毒并不知情。结合分析结果,火绒工程师推测为易语言模块遭供应链污染导致。最终,经过溯源取证,火绒工程师基本确认了该后门病毒的作者以及作案手法:通过易语言外挂交流群等平台散播含有后门的病毒模块,以感染编译环境的方式达到供应链污染的目的。(详情见分析报告部分)
火绒工程师表示,与此次作案手法类似的还有去年的“微信支付”勒索病毒。供应链污染一直都是病毒传播的一大手段,而下载站也逐渐成为了病毒分发的主要平台,火绒对相关供应链污染与下载站传播各类病毒曾进行多次披露。在此,我们再一次呼吁,广大开发人员在使用第三方模块时,尽量通过正规渠道获取,并及时检查其安全性;各大下载站管理人员对上传文件加强审核,阻止病毒传播,为用户共同营造良好的网络环境。
附:【分析报告】
分享到:
閱讀更多 火絨安全實驗室 的文章
