泗阳县关于对BlackMoon僵尸网络大规模传播的风险提示

关于BlackMoon僵尸网络大规模传播的风险提示

全校各用户：

近期，国家计算机网络应急技术处理协调中心监测发现BlackMoon僵尸网络在互联网上进行大规模传播，通过跟踪监测发现其1月控制规模（以IP数计算）已超过100万，日上线肉鸡数最高达21万，给网络空间带来较大威胁。具体情况如下：

一、僵尸网络分析

（一）相关样本分析

该僵尸网络大规模传播的样本涉及10个下载链接、6个恶意样本，样本分为两类：一类用于连接C2，接受控制命令的解析程序，包括Yic.exe、nby.exe、yy1.exe、ii7.exe、ii8.exe；另一类为执行DDoS攻击的程序，为Nidispla2.exe，DDoS攻击程序可以通过不同的方式发送DDoS攻击，并且可以使用不同的UA头进行攻击。

（二）传播方式分析

该BlackMoon僵尸网络传播方式之一是借助独狼（Rovnix）僵尸网络进行传播。独狼僵尸网络以带毒激活工具（暴风激活、小马激活、 KMS等）进行传播，常被用来推广病毒和流氓软件。另外通过Flash Player、各种可执行文件.exe、以及网页中的各种弹窗广告等来进行传播以此来窃取用户的各种密码。

二、僵尸网络感染规模

2022年1月15日至2月22日BlackMoon僵尸网络日上线肉鸡数最高达到21万台，累计感染肉鸡数达到237万，几乎均为境内主机。

三、防范建议

请各用户强化风险意识，加强安全防范，避免不必要的损失，主要建议包括：

1、不要点击来源不明邮件。

2、不要打开来源不可靠网站。

3、不要安装来源不明软件。

4、不要插拔来历不明的存储介质。

5、不要点击网页中各种弹窗广告、美女图片等。

当发现主机感染僵尸木马程序后，建议立即核实主机受控情况和入侵途径，并对受害主机进行清理。

这个木马程序是如何传播的？

根据报道，BlackMoon木马程序通过偷渡式的下载来传播，这就是说它会利用过时软件的漏洞进入受害者的计算机系统。此外，这个恶意软件的变种会通过伪造软件的更新，通常是 Java Player 或 Flash Player 更新一起下载。虽然这些程序是完全合法的，但网络罪犯会利用用户对这些程序的信任，他们会把受感染的文件与这些程序绑定在一起，然后通过不安全的网站推广这些被修改过的更新。因此，我们高度建议你远离不明网站并避免从那儿下载著名的软件，因为这类似的下载可能含有恶意文件，严重损坏你的计算机系统。不必多说，你应该随时将你所有的程序更新，并以强效的反恶意软件解决方案来保护你的计算机。

如何从计算机系统移除 BlackMoon？

BlackMoon 病毒是一个非常危险的计算机威胁，除非你是一个信息科技专家，否则你不应该尝试自己处理它。这是一个编程得非常好的软件，它会将可执行文件隐藏在听起来安全的文件名字下面。你应该使用一个功效强大的反间谍软件来自动移除BlackMoon。我们建议你扫描整个计算机几次以确保彻底除掉这个威胁。然后，我们建议你更换所有的密码、登录、个人识别号码及其他重要的信息以防止网络罪犯从你的银行账户窃取你的金钱。