国家计算机病毒应急处理中心通过对互联网的监测,发现一个通过恶意powerpoint幻灯片传播remcos的样本,该样本还内置了编号为cve-2017-0199漏洞的利用方法。remcos rat的出现最早可以追溯到2016年,当时在黑客论坛里作为一种有偿服务进行广告和销售,曾经很多网站和论坛还提供该工具的破解版本。直至今日,remcos仍然是网络罪犯们的常用工具并不断推动其发展。现在,remcos又开始使用钓鱼邮件进行大肆传播。
钓鱼邮件背后的恶意攻击者使用rud-division@alkuhaimi.com这个邮箱和re: new order 573923的主题。邮件中包含的恶意附件使用ace压缩的文件格式,purchase order201900512.ace,其可以通过boom.exe进行加载和封装。
remcos rat本来是作为一个让用户远程控制系统的正规合法的远程访问工具进行销售的,但最近却成为了网络罪犯的犯罪利器。一旦该rat被执行,入侵者就有能力在用户的系统中执行远程命令。比如,在之前的宣传中,就说明该工具具有多功能性的特点,包括下载并执行命令,键盘记录,屏幕记录以及使用摄像头和麦克风进行录音录像等功能。
为防范该恶意程序所造成的危害,建议校园网用户及时给电脑打补丁,修复漏洞,关闭不必要的端口;不打开来历不明的邮件中的附件;同时,给电脑安装防病毒软件。
