CNR上海5月25日电（记者 付文杰 韩晓宇 通讯员 杨文）5月23日晚，腾云网络团队发布预警，一种名为“”的新型恶意软件正在全球蔓延。估计有54个国家被攻陷，受感染设备数量至少50万台。

团队的研究和分析表明，它更具破坏性，可以通过烧毁用户的设备来掩盖痕迹。它比简单地删除恶意软件痕迹更深入。使用恶意软件，攻击者可以实现各种其他目的。例如监控网络流量和拦截敏感网络的凭据；窥探设备网络流量并部署针对 ICS 基础设施的专门恶意软件；利用受感染设备的僵尸网络隐藏其他恶意攻击的来源；使路由器瘫痪并使其易受攻击 受到攻击的大部分 基础设施不可用。此类命令可以大规模执行，如果需要，可以使数千台设备无法使用。

目前受影响的设备主要包括小型和家庭办公室 (SOHO) 中使用的 、 、 和 TP-Link 路由器，以及 QNAP 网络附加存储 (NAS) 设备。未发现其他网络设备供应商受到感染。

腾云网络发布攻击过程示意图

据报道，它是一个高度模块化的框架，允许快速更改作战目标设备，同时为情报收集和寻找攻击平台提供支持。其攻击路径主要分为三个阶段。阶段 1 恶意软件通过重启植入网站建设，该阶段的主要目的是获得持久的立足点并允许部署阶段 2 恶意软件。

第 2 阶段恶意软件具有智能收集平台所期望的功能，例如文件收集、命令执行、数据过滤和设备管理。重启设备，使其无法使用。

此外，还有多个第 3 阶段模块作为第 2 阶段恶意软件的插件，可提供附加功能，目前思科团队发现了两个插件模块：一个数据包嗅探器，用于收集通过设备的流量php网站入侵工具网站建设，包括窃取网站凭据和监控协议，以及允许 2 与 Tor 通信的通信模块，据称还有其他几个插件模块php网站入侵工具，但尚未被发现。

“我们针对恶意软件和潜在的扩展攻击面提供了几项保护建议。” 25日，阿里巴巴安全部猎户座实验室资深安全专家表示，由于大部分受影响的设备都是直连互联网的，攻击者与设备之间大多没有安全保障，大部分受影响的设备都有公开漏洞，而且大多数都没有内置的反恶意软件功能，因此很难防御此类威胁。

“阿里巴巴安全猎户座实验室持续关注系统平台、软硬件基础设施，以及底层的传统和新兴威胁。” Lab安全专家表示，解决方案主要包括几个方面。

首先要保证设备和补丁都是最新版本，同时更新的补丁要及时应用，避免出现漏洞；此外，设备应尽量减少对外开放的端口服务，以减少攻击面；需要及时更改设备的默认密码，以满足复杂性要求；开发和部署了 100 多个签名，以暴露与此威胁相关的设备的已知漏洞。这些规则已部署在公共集合中，可用于保护设备；将涉及的域名/IP地址列入黑名单，并将其与威胁关联起来进行检测、拦截和防御；路由器和NAS设备被感染，建议用户恢复出厂默认值，升级最新版本，打最新补丁后重启。