Ursnif Trojan被复活，现在它以你的密码为目标

有時某些感染幾十年來不會消失。網絡罪犯設法自定義其惡意代碼，並反複使用它們來竊取信息和金錢。今天，我們想提請您注意舊的銀行木馬病毒感染，該病毒已經升級，現在又遍及網絡世界。 Ursnif Trojan又回來了，它要求公司和個人用戶提高警惕，因為您永遠不知道這種感染何時會侵入您的系統。我們在此博客文章中的主要目標是提高您對此類危險網絡感染的認識。

什麼是Ursnif Trojan？

您可能想知道為什麼我們在談論銀行木馬時，我們的主要專業知識是密碼和個人信息安全。好吧，事實是，該銀行木馬確實將您的密碼作為目標，因此，即使常規用戶可能不太想知道如何刪除木馬病毒，我們也有責任告訴您有關密碼的信息，因為這就是應該使用許可的反間諜軟件工具來完成。

不過，我們相信您應該了解一些有關Ursnif Trojan的背景信息。根據新澤西州網絡安全和通信集成小組（NJCCIC）的說法 ， Ursnif木馬是Gozi惡意軟件最活躍的版本之一。您可能還會發現它以Dreambot名稱歸檔。通常，此銀行木馬通過漏洞利用工具包，垃圾郵件附件和惡意鏈接進行傳播。

該木馬本身的歷史可以追溯到2007年，但是直到2010年Gozi惡意軟件源代碼洩漏時才被廣泛使用。結果，掌握了該代碼的網絡罪犯可以輕鬆地自定義惡意代碼，從而導致出現了許多不同的銀行木馬。這些銀行木馬針對的是多家銀行，並且在這種惡意軟件首次令人討厭的12年來，威脅仍然存在。

最新一波Ursnif特洛伊木馬感染

思科Talos情報小組發現了最新的感染事件。該組織在博客中表示，當他們自己的漏洞防禦引擎提醒他們這些感染時，他們已經跟踪了信息竊取者。

該銀行木馬的最新類型是通過網絡釣魚電子郵件分發的。顯然，這表明用戶允許這種惡意感染進入他們的計算機，然後他們拼命地尋找如何刪除特洛伊木馬病毒的方法。

這些網絡釣魚電子郵件附帶了類似於Microsoft Word文檔的附件。不用說，很難想像沒有比簡單的MS Word文件更純真的任何東西，因此用戶不會感覺到任何危險。當目標用戶打開此文檔時，他們會看到一個圖像，要求他們啟用宏。這已經是一個很大的危險信號，因為銀行木馬和其他惡意軟件經常利用啟用的宏來感染目標計算機。

啟用的宏將啟動混淆代碼，該代碼運行多個數學函數，並最終執行PowerShell。該命令通過遠程服務器連接到惡意命令和控制中心，並將Unsnif下載到目標系統上。結果，木馬程序被安裝在目標計算機上。之後，Ursnif開始搜索系統中的銀行信息，登錄詳細信息等。

由於實際的安裝文件不會通過網絡釣魚電子郵件分發，因此記錄和跟踪惡意活動要困難得多。您可能還說，很容易避免感染此銀行木馬，因為您要做的就是避免打開惡意的MS Word文件。

但是，如果我們考慮一下公司係統，以及大公司員工每天必須打開的電子郵件數量，那該怎麼辦？可能更容易理解Ursnif如何在全球範圍內進入多個系統。如果打開附件是日常工作，則員工不太可能關注新收到的電子郵件的可疑方面。

因此，為避免讓您的腦子上如何清除特洛伊木馬病毒，對員工進行惡意軟件防護方面的培訓會更有效率。一些安全實踐還建議強制執行密碼策略。

如果密碼複雜，銀行木馬可能很難破解計算機上的密碼文件。儘管它無法100％防止惡意軟件感染的損害，但一旦系統受到威脅，它仍可能會限制它。創建和使用複雜密碼的最佳方法之一是使用密碼管理器 。密碼管理器可以幫助您生成強密碼並將其存儲在其密碼庫中。使用防火牆阻止試圖連接到不應公開提供的服務的傳入連接也是一個好主意。您始終可以通過一份安全措施清單來避免在任何涉及網絡安全的網站上使用銀行木馬。

結論是，該銀行木馬贊成“無文件”持久性。這使得防病毒服務很難在正常的Internet通信中發現它。我們甚至無法期望普通用戶能夠投資於可以從正常信息流中過濾掉惡意流量的安全措施。安全專家認為，一旦啟動下載過程，阻止Ursnif Trojan安裝在目標系統上確實是一項挑戰。

如果您運行的是大型計算機系統網絡，則可能需要與專業技術人員聯繫以獲得更詳細的建議。我們確實了解到，有時較小的公司沒有足夠的資金來投資網絡安全，但是即使那樣，您也應該考慮教育您的員工有關潛在的網絡威脅，例如單擊此銀行木馬即可。強制採取多種預防措施比爭先恐後地尋找如何清除特洛伊木馬感染的方法要好得多。