: Crouching Yeti (Energetic Bear) 恶意软件

病毒定义

病毒类型：恶意软件/高级持续性威胁 (APT)

它是什么？

Crouching Yeti 是一种涉及多项高级持续性威胁 (APT) 活动的威胁，其开始活跃的时间至少可追溯到 2010 年末。

该威胁的主要目标领域包括：

• 工业/机械
• 制造
• 制药
• 建筑
• 教育
• 信息技术

经深入研究表明，在我们发现的受害者中，工业/机械制造业所占人数最多，这有力说明了该威胁对这一领域尤为感兴趣。

Crouching Yeti 威胁依靠三种方法来感染受害者，即，使用嵌入 Adobe Flash 漏洞利用程序 (CVE-2011-0611) 的 PDF 文档的鱼叉式网络钓鱼电子邮件

• 植入木马的软件安装程序
• 使用各种已被反复使用的漏洞利用的水坑式攻击

威胁详情

Crouching Yeti 的活动算不上有多复杂。比如说，攻击者从不使用零日漏洞利用，而只会利用互联网上广泛可用的漏洞。但这并没有妨碍该活动避开人们的实现，逍遥活动了长达数年时间。

全世界已知的受害者总数已超过 2800 个，其中由卡巴斯基实验室研究人员识别出的受害组织达 101 家。这份受害名单似乎表明了 Crouching Yeti 对于战略性目标的兴趣，但它同时也对许多其他不那么显眼的机构中的群体表现出了兴趣。

卡巴斯基实验室的专家认为他们可能是间接受害者，但也有理由认为可以因此而对 Crouching Yeti 的活动进行重新定义，即，它不仅是一种对特定领域感兴趣的高针对性活动，也是一种对不同领域感兴趣的广泛监视活动。

如何判断我是否受到了 Crouching Yeti 的感染？

判断您是否已成为 Crouching Yeti 受害者的最佳方法，是确认是否遭到了入侵。通过卡巴斯基反病毒软件等强大的反病毒产品，可以识别出这些威胁。

卡巴斯基实验室的产品将会检测 Crouching Yeti 活动所涉及到的以下恶意软件（显示威胁定义）：

• Trojan.Win32.Sysmain.xxx
• Trojan.Win32.Havex.xxx
• Trojan.Win32.ddex.xxx
• Backdoor.MSIL.ClientX.xxx
• Trojan.Win32.Karagany.xxx
• Trojan-Spy.Win32.HavexOPC.xxx
• Trojan-Spy.Win32.HavexNk2.xxx
• Trojan-Dropper.Win32.HavexDrop.xxx
• Trojan-Spy.Win32.HavexNetscan.xxx
• Trojan-Spy.Win32.HavexSysinfo.xxx

如何保护自己免受 Crouching Yeti 的侵害

• 保持及时更新您的所有软件。Crouching Yeti 威胁所使用过的漏洞利用中，从未出现零日漏洞攻击，绝大多数感染原本都可以通过使用最新的第三方软件成功预防。
• 安装安全解决方案并确保其及时更新，以预防病毒感染。
• 教育是安全方面很重要的一环，尤其在面对鱼叉式网络钓鱼电子邮件时更是如此。