病毒定义
病毒类型:恶意软件/高级持续性威胁 (APT)
它是什么?
Crouching Yeti 是一种涉及多项高级持续性威胁 (APT) 活动的威胁,其开始活跃的时间至少可追溯到 2010 年末。
该威胁的主要目标领域包括:
- 工业/机械
- 制造
- 制药
- 建筑
- 教育
- 信息技术
经深入研究表明,在我们发现的受害者中,工业/机械制造业所占人数最多,这有力说明了该威胁对这一领域尤为感兴趣。
Crouching Yeti 威胁依靠三种方法来感染受害者,即,使用嵌入 Adobe Flash 漏洞利用程序 (CVE-2011-0611) 的 PDF 文档的鱼叉式网络钓鱼电子邮件
- 植入木马的软件安装程序
- 使用各种已被反复使用的漏洞利用的水坑式攻击
威胁详情
Crouching Yeti 的活动算不上有多复杂。比如说,攻击者从不使用零日漏洞利用,而只会利用互联网上广泛可用的漏洞。但这并没有妨碍该活动避开人们的实现,逍遥活动了长达数年时间。
全世界已知的受害者总数已超过 2800 个,其中由卡巴斯基实验室研究人员识别出的受害组织达 101 家。这份受害名单似乎表明了 Crouching Yeti 对于战略性目标的兴趣,但它同时也对许多其他不那么显眼的机构中的群体表现出了兴趣。
卡巴斯基实验室的专家认为他们可能是间接受害者,但也有理由认为可以因此而对 Crouching Yeti 的活动进行重新定义,即,它不仅是一种对特定领域感兴趣的高针对性活动,也是一种对不同领域感兴趣的广泛监视活动。
如何判断我是否受到了 Crouching Yeti 的感染?
判断您是否已成为 Crouching Yeti 受害者的最佳方法,是确认是否遭到了入侵。通过卡巴斯基反病毒软件等强大的反病毒产品,可以识别出这些威胁。
卡巴斯基实验室的产品将会检测 Crouching Yeti 活动所涉及到的以下恶意软件(显示威胁定义):
- Trojan.Win32.Sysmain.xxx
- Trojan.Win32.Havex.xxx
- Trojan.Win32.ddex.xxx
- Backdoor.MSIL.ClientX.xxx
- Trojan.Win32.Karagany.xxx
- Trojan-Spy.Win32.HavexOPC.xxx
- Trojan-Spy.Win32.HavexNk2.xxx
- Trojan-Dropper.Win32.HavexDrop.xxx
- Trojan-Spy.Win32.HavexNetscan.xxx
- Trojan-Spy.Win32.HavexSysinfo.xxx
如何保护自己免受 Crouching Yeti 的侵害
- 保持及时更新您的所有软件。Crouching Yeti 威胁所使用过的漏洞利用中,从未出现零日漏洞攻击,绝大多数感染原本都可以通过使用最新的第三方软件成功预防。
- 安装安全解决方案并确保其及时更新,以预防病毒感染。
- 教育是安全方面很重要的一环,尤其在面对鱼叉式网络钓鱼电子邮件时更是如此。
