Ursnif Trojan被复活，现在它以你的密码为目标

有时某些感染几十年来不会消失。网络罪犯设法自定义其恶意代码，并反复使用它们来窃取信息和金钱。今天，我们想提请您注意旧的银行木马病毒感染，该病毒已经升级，现在又遍及网络世界。 Ursnif Trojan又回来了，它要求公司和个人用户提高警惕，因为您永远不知道这种感染何时会侵入您的系统。我们在此博客文章中的主要目标是提高您对此类危险网络感染的认识。

什么是Ursnif Trojan？

您可能想知道为什么我们在谈论银行木马时，我们的主要专业知识是密码和个人信息安全。好吧，事实是，该银行木马确实将您的密码作为目标，因此，即使常规用户可能不太想知道如何删除木马病毒，我们也有责任告诉您有关密码的信息，因为这就是应该使用许可的反间谍软件工具来完成。

不过，我们相信您应该了解一些有关Ursnif Trojan的背景信息。根据新泽西州网络安全和通信集成小组（NJCCIC）的说法 ， Ursnif木马是Gozi恶意软件最活跃的版本之一。您可能还会发现它以Dreambot名称归档。通常，该银行木马通过漏洞利用工具包，垃圾邮件附件和恶意链接进行传播。

该木马本身的历史可以追溯到2007年，但是直到2010年Gozi恶意软件源代码泄漏时才被广泛使用。结果，掌握了该代码的网络罪犯可以轻松地自定义恶意代码，从而导致出现了许多不同的银行木马。这些银行木马针对的是多家银行，并且在这种恶意软件首次令人讨厌的12年来，威胁仍然存在。

最新一波Ursnif特洛伊木马感染

思科Talos情报小组发现了最新的感染事件。该组织在博客中表示，当他们自己的漏洞防御引擎提醒他们这些感染时，他们已经跟踪了信息窃取者。

该银行木马的最新类型是通过网络钓鱼电子邮件分发的。显然，这表明用户允许这种恶意感染进入其计算机，然后他们拼命地寻找如何删除特洛伊木马病毒的方法。

这些网络钓鱼电子邮件附带了类似于Microsoft Word文档的附件。不用说，很难想象没有比简单的MS Word文件更纯真的任何东西，因此用户不会感觉到任何危险。当目标用户打开此文档时，他们会看到一个图像，要求他们启用宏。这已经是一个很大的危险信号，因为银行木马和其他恶意软件经常利用启用的宏来感染目标计算机。

启用的宏将启动混淆代码，该代码运行多个数学函数，并最终执行PowerShell。该命令通过远程服务器连接到恶意命令和控制中心，并将Unsnif下载到目标系统上。结果，木马程序被安装在目标计算机上。之后，Ursnif开始搜索系统中的银行信息，登录详细信息等。

由于实际的安装文件不会通过网络钓鱼电子邮件分发，因此记录和跟踪恶意活动要困难得多。您可能还说，很容易避免感染此银行木马，因为您要做的就是避免打开恶意的MS Word文件。

但是，如果我们考虑一下公司系统，以及大公司员工每天必须打开的电子邮件数量，那该怎么办？可能更容易理解Ursnif如何在全球范围内进入多个系统。如果打开附件是日常工作，则员工不太可能关注新收到的电子邮件的可疑方面。

因此，为避免使您的脑袋上没有如何清除特洛伊木马病毒的知识，对员工进行有关恶意软件防护的教育会更加有效。一些安全实践还建议强制执行密码策略。

如果密码复杂，银行木马可能很难破解计算机上的密码文件。尽管它无法100％防止恶意软件感染的损害，但一旦系统受到威胁，它仍可能会限制它。创建和使用复杂密码的最佳方法之一是使用密码管理器 。密码管理器可以帮助您生成强密码并将其存储在其密码库中。使用防火墙阻止试图连接到不应该公开提供的服务的传入连接也是一个好主意。您始终可以通过一份安全措施清单来避免在任何涉及网络安全的网站上使用银行木马。

结论是，该银行木马赞成“无文件”持久性。这使得防病毒服务很难在正常的Internet通信中发现它。我们甚至无法期望普通用户能够投资于可以从正常信息流中过滤掉恶意流量的安全措施。安全专家一致认为，一旦启动下载过程，阻止Ursnif Trojan安装在目标系统上确实是一项挑战。

如果您运行的是大型计算机系统网络，则可能需要与专业技术人员联系以获得更详细的建议。我们确实了解到，有时较小的公司没有足够的资金来投资网络安全，但是即使那样，您也应该考虑教育您的员工有关潜在的网络威胁，例如单击此银行木马即可。强制采取多种预防措施比争先恐后地寻找如何清除特洛伊木马感染的方法要好得多。