企业远程办公遭遇XRed病毒攻击：200多台电脑被感染

　　作者：朝晖

　　疫情防控期间，多数企事业单位、互联网公司都选择了延期复工、远程在家弹性办公，远离了新型冠状病毒，但同时也要注意被电脑病毒攻击的危险。

　　据腾讯电脑管家官微消息，近日，腾讯企业安全应急响应中心（下称腾讯安全）接到某互联网公司求助，该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒，导致部门 200 多名员工电脑被感染，该公司担心系统业务安全受到威胁，希望腾讯安全协助处理。

　　接到求助后，腾讯安全工程师通过溯源发现，是该企业在进行远程办公时，某位业务主管使用个人电脑办公，该电脑被 XRed 病毒感染，致使电脑 EXE 文件及电子表格文件均被病毒感染，通过内部工作群分享远程办公工具之后，造成该病毒在同事间扩散。

　　通过分析，腾讯安全专家发现 XRed 病毒是具备远程控制、信息窃取能力的感染型病毒，可以感染本地 EXE 文件及 xlsx 电子表格文件，病毒可通过文件分享和U盘、移动硬盘等媒介传播。

　　因发现比较及时，使用腾讯电脑管家或腾讯T-sec 终端安全管理系统清除病毒后，已恢复被感染的文件，本次病毒攻击未对该企业造成重大影响。

　　腾讯安全排查发现，在怀疑感染病毒的电脑有如下现象：

　　1、解压文件，发现解压出来的 exe 文件对比原始文件大，已被感染；

　　2、任意复制一个 exe 文件放到桌面上，exe 文件都会被感染，感染后文件描述被修改成触摸板设备驱动程序，据此可以基本确认该病毒为同行已披露过的“Synaptics”蠕虫病毒。

　　3、继续检查发现，这台中毒电脑上破解版压缩软件并未发现“供应链污染”类问题。基本可以确认是这台个人电脑更早前某个时刻感染 XRed 病毒，在本次应急用作工作电脑远程办公使用，对外分享文件时，被该公司 IT 人员监测发现异常。

　　腾讯安全表示，病原体“Synaptics.exe”有超过 2 万个变种，最近一次更新是 2020 年 1 月，目前仍处于活跃状态，建议企业及时升级杀毒软件，做好防范。