近日，360安全卫士团队接到用户反馈，其从Discord上下载的Telegram通讯软件疑似存在木马病毒，导致文件下载、在线聊天、键盘录入等操作都“有点不对劲儿”。经及时响应持续跟进，360安全卫士团队最终发现了一种伪装成Telegram通讯软件安装包进行攻击的病毒木马，并根据传播方式将其命名为——FakeTelegram。

披上Telegram马甲隐蔽性强

据悉，这种新型木马会下载合法的Telegram安装包进行安装，以掩盖暗中的恶意行为，并通过RDP服务实现驻留，然后伺机执行启动长期后门，记录键盘输入、扫描浏览器密码等操作，潜在威胁极大。不过，广大用户也无需过于担心，只需及时下载安装360安全卫士，便可在第一时间监测、查杀这种木马。

之所以说FakeTelegram威胁巨大，主要是基于其传播渠道的特殊性。根据360安全大脑的监测结果，该木马被托管于Discord CDN服务器。而Discord是一款主要面向游戏玩家的流行聊天通讯软件，用户量逐年增加。而且，由于向Discord上传的附件可被所有人下载，用户之间的文件分享和传输快速便捷等特点，同样也引起了网络犯罪人员的注意。随之而来的就是大量恶意软件被托管于Discord的CDN服务器以提供给木马远程下载。

潜踪匿影高段位攻击防御难度大

从360安全大脑监测和记录的攻击流程来看，从链接下载回来的“安装包”会使用C#语言进行编写，并通过程序图标伪装成Telegram安装程序的32位文件。为了更好地伪装自身，还盗用了Telegram合法软件签名Telegram FZ-LLC，不过从文件属性中可以看到该签名实际无效。为了躲避检测，程序中大量敏感字符串还进行了Base64编码，运行时才会解码。

而且，虚假安装包木马还会获取本地机器的MAC地址，匹配自身携带的地址库（共含13345个MAC地址），若在列表中则不进行感染。为了避免重复感染，程序还会通过确认文件%LocalAppData%\ASUNCB-dcBdklMsBabnDBlU是否存在来判断当前机器是否已被感染过，若确认已感染便会退出并自我删除，否则便创建该文件并继续执行后续操作。接着访问网址 src="http://p0.qhimg.com/t018a855a37150a3fa0.jpg?size=858x554"/>