病毒预报  第七百六十二期

国家计算机病毒应急处理中心通过对互联网的监测发现,自2018年5月以来使用新型Downloader sLoad发送恶意电子邮件活动。sLoad是一个用来下载PowerShell的程序，其最常投递的是Ramnit银行木马，并且其中还包含值得我们关注的侦查功能。该恶意软件收集有关被感染主机的信息，包括：正在运行的进程列表、Outlook相关信息以及Citrix相关文件。此外，sLoad还可以获取屏幕截图，并检查特定域名的DNS缓存，以及加载外部的二进制文件。

根据历史监测到的信息，该恶意活动主要针对于意大利、加拿大和英国地区，向这些地区的邮箱发送恶意电子邮件。这些电子邮件使用相应国家的语言撰写，通常会针对每个用户进行个性化定制，在电子邮件正文和标题部分包含收件人的姓名与地址。TA554经常使用快递运送或订单通知主题诱导目标用户点击，邮件中包含压缩LNK文件的URL链接，或是在附件中包含压缩文档。LNK文件或压缩文档将下载下一阶段的恶意软件，通常是一个PowerShell脚本，该脚本用于下载最终PowerShell或其他Downloader。

针对该恶意程序所造成的危害，建议用户安装安全防护软件，并将病毒库升级至最新版本。同时，不要打开不明来历的电子邮件，以防受到该恶意程序的影响，造成严重的损失。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心