近日，火绒安全团队发现名为“TrickBot”的后门病毒正在全球范围内通过仿冒邮件发起新一轮网络攻击，世界范围内多家银行和比特币交易平台（共计269家）的使用者都在此次被攻击范围之内。病毒“TrickBot”目的明确，在于盗取用户的银行账户、比特币账户信息，攫取钱财。火绒安全警报：病毒伪装成“汇丰银行”邮件盗取用户账号图：受到病毒攻击威胁的部分银行、比特币交易平台名称后门病毒“TrickBot”通过伪装成标题为“您的汇丰银行申请文档”的邮件进行传播，并以附件的形式发给用户。其内容极具迷惑性，操作说明、注意事项、客服电话以及办公地址等信息一应俱全，用户很难辨别其真伪。而用户一旦打开该文档，文档内的恶意代码将会自动执行，并通过Office漏洞(CVE-2017-11882)下载后门病毒“TrickBot”。以下为受影响版本：火绒安全警报：病毒伪装成“汇丰银行”邮件盗取用户账号病毒“TrickBot”入侵用户电脑后，会盗取其银行账户以及比特币交易平台登录信息。同时还会收集用户计算机内的数据信息，包括系统版本，CPU情况，内存，用户名，系统中的服务项，软件安装情况等。不仅如此，病毒团伙可随时通过远程操控更改病毒代码，进行其他破坏行为。例如：植入挖矿病毒、勒索病毒等。

           火绒工程师通过技术分析，发现“TrickBot”早在2016年就已经出现，此次火绒安全团队拦截到的为其变种版本。虽然该病毒的新变种层出不穷，但其主要目标都是盗取用户银行账号、密码等信息，攫取钱财。“火绒安全软件”最新版即可查杀后门病毒“TrickBot”，建议近期收到过类似邮件的用户尽快进行排查。此外，目前MicrosoftOffice已经修复该漏洞，建议用户安装最新补丁，以免遭受不必要的损失。根据乌克兰CERT官方消息，邮件附件是本次病毒攻击的传播源头。病毒在运行之后，会枚举内网电脑并尝试使用SMB协议进行连接。同时病毒会修改系统引导区(MBR)，当电脑重启后，病毒会在操作系统运行之前先启动。这次攻击是勒索病毒“必加”(Petya)的新变种。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式。从推理分析来看，该病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放，之后释放Downloader来获取病毒母体，形成初始扩散节点，之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。

         同时根据初步分析，其可能具有感染域控制器后提取域内机器口令的能力，因此其对内网具有一定的穿透能力，对内网安全总体上比此前受到广泛关注的魔窟(WannaCry)有更大的威胁，而多种传播手段组合的模式必将成为勒索软件传播的常态模式。目前为止国内暂无大面积感染迹象，安全狗将持续跟踪本次事件动态，及时将事件最新进展通知用户，确保用户不受勒索病毒影响。