近日，瑞星威脅情報中心捕獲到AgentTesla竊密木馬病毒的新型變種，此次變種通過釣魚郵件進行傳播，誘導用戶解壓并運行附件中的木馬病毒，從而收集用戶瀏覽器、郵件、FTP、VPN、即時通訊等軟件賬號密碼，以及屏幕截圖、鍵盤擊鍵等信息。瑞星公司發現已有國內金融企業被該病毒攻擊，在此提醒廣大用戶需提高警惕，目前瑞星ESM防病毒終端安全防護系統等產品均可攔截并查殺AgentTesla最新變種，用戶可通過該產品規避此類安全風險。

　　圖：瑞星ESM防病毒終端安全防護系統可查殺AgentTesla最新變種

　　據瑞星安全專家介紹，AgentTesla的前身是一款商業鍵盤記錄器,但在過去的數年里，該病毒早已從鍵盤記錄器變成了徹頭徹尾的竊密木馬病毒, 到目前為止其包含的功能主要有屏幕截圖、鍵盤記錄、竊取軟件憑證、剪貼板記錄等多種功能，并且可以通過Tor匿名網絡、電子郵件、FTP和HTTP等方式進行回傳。此次AgentTesla最新變種除竊密行為外還主要包括對安全防護軟件靜態掃描的對抗，其通過代碼混淆、數據加密等多種手段試圖繞過靜態掃描，阻礙安全人員對其樣本的分析。

　　圖：攻擊流程圖

　　經過分析發現，AgentTesla最新變種被攻擊者通過釣魚郵件投遞至用戶郵箱，隱藏在郵件附件的Zip中，并偽裝成Word文檔默認圖標，以此誘惑用戶解壓運行，一旦該病毒被運行，就會自我復制，設置注冊表自啟動項，隨后收集該用戶瀏覽器、郵件客戶端、屏幕截圖、記錄鍵盤擊鍵等信息，最后還會通過郵件回傳到攻擊者郵箱。目前，已知AgentTesla最新變種竊取的瀏覽器、郵件客戶端、FTP客戶端、VNC客戶端包括：

　　由于已有國內金融企業遭到了AgentTesla最新變種的威脅，在此瑞星公司提出以下幾點防范建議：

　　不打開可疑文件。

　　不打開未知來源的可疑文件和郵件，防止社會工程學和釣魚攻擊。

　　部署網絡安全態勢感知、預警系統等網關安全產品。

　　網關安全產品可利用威脅情報追溯威脅行為軌跡，幫助用戶進行威脅行為分析、定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網絡威脅，最大范圍內發現被攻擊的節點，幫助企業更快響應和處理。

　　安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。

　　殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。

　　及時安裝系統補丁和重要軟件的補丁。

　　許多惡意軟件經常使用已知的系統漏洞、軟件漏洞來進行傳播，及時安裝補丁將有效減小漏洞攻擊帶來的影響。