近日，瑞星威脅情報中心捕獲到疑似國內病毒團伙利用HFS服務器傳播病毒的證據。經分析發現，此次傳播的病毒有數個，其中點擊量最高的已經過萬，病毒不僅會偽裝成游戲，還會釋放后門及遠控木馬，因此廣大用戶需提高警惕。

圖：病毒團伙IP地址下的多個惡意文件

通過瑞星HFS服務器監控平臺可以看出，此次事件中的病毒團伙利用的IP地址為：119.91.152.xxx:4442，因此猜測該團伙為國內組織。而在這個HFS服務器下，存有多個惡意文件，其中“srys.exe”文件的點擊量已經過萬，不止釋放Farfli后門程序，還釋放DarkKomet遠控木馬。同時，該IP地址下的“夢回沉默M2.exe”、“12_32.exe”和“syswqa.exe”等文件，有的會偽裝成游戲迷惑用戶，有的會訪問惡意地址，而最終均會釋放“srys.exe”程序。

圖：瑞星HFS服務器監控平臺檢測到帶有惡意文件的IP地址

瑞星安全專家介紹，病毒團伙是利用HFS服務器地址傳播惡意程序的，無論是點擊該IP地址下哪個程序，最終都會被指向“srys.exe”，而這個點擊量已經過萬的惡意程序，不僅開啟后門程序，還會對受害主機進行控制桌面、記錄鍵盤、截取屏幕、盜取文件及其他遠程控制等操作。

由于HFS服務器能夠共享文件，任何人都可以訪問，因此其危害范圍較廣，國內用戶應提高警惕，加強防范意識，避免受到波及。同時，瑞星安全專家建議廣大用戶做到以下兩點：

1. 部署EDR、NDR類產品。

可利用威脅情報追溯威脅行為軌跡，幫助用戶進行威脅行為分析、定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網絡威脅，最大范圍內發現被攻擊的節點，幫助企業更快響應和處理。

2. 安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。

殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。

圖：瑞星ESM防病毒終端安全防護系統查殺此次事件中的病毒

關鍵詞：