美国政府警告中国新的“泰门”病毒株

美国情报机构发布了一种新的12年前计算机病毒变种的信息，这种病毒由中国政府资助的黑客使用，目标是政府、企业和智库。

“命名”泰德，“早在2008年，该恶意软件就在破坏系统方面做得“非常好”，参与者将其部署在受害者网络上进行秘密远程访问。

美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）表示：“FBI高度相信，中国政府行为体正在使用恶意软件变体与代理服务器，以维持在受害者网络上的存在，并进一步利用网络。”，国防部（DoD）在一份联合咨询报告中表示。

美国网络司令部还将泰门鼠的四个样本上传到公共恶意软件库VirusTotal上，让50多家反病毒公司检查病毒是否参与了其他未公布的活动。

然而，恶意软件本身并不新鲜。Trend Micro研究人员在2012年的一项分析中发现，泰门背后的参与者利用带有恶意PDF附件的社会工程电子邮件攻击台湾政府。

FireEye称其为“不断演变、持续的威胁”，并指出其在2013年的策略发生了重大变化，其中“恶意电子邮件附件没有直接删除Taidoor恶意软件，而是删除了一个‘下载器’，然后从互联网上抓取了传统的Taidoor恶意软件。”

去年，NTT安全部门发现了通过Microsoft Word文档对日本组织使用后门的证据。打开后，它会执行恶意软件，与攻击者控制的服务器建立通信，并运行任意命令。

根据最新的建议，这种使用诱饵文件的技术并未改变，诱饵文件中包含附在斯皮尔网络钓鱼电子邮件上的恶意内容。

“Taidoor安装在目标公司的系统即服务动态链接库（DLL）上，由两个文件组成，”这些机构说。第一个文件是作为服务启动的加载程序。加载程序（ml.dll）解密第二个文件（svchost.dll），并在内存中执行，内存是主要的远程访问特洛伊木马（RAT）

除了执行远程命令，Taidoor还提供了一些功能，允许它收集文件系统数据、捕获屏幕截图，并执行必要的文件操作，以过滤收集到的信息。

CISA建议用户和管理员更新操作系统补丁，禁用文件和打印机共享服务，强制执行强大的密码策略，并在打开电子邮件附件时保持谨慎。