帮助中心
企业微信关于远控、木马的排查指引
[TOC]

一、关于远控、木马的威胁


  最近“银狐”木马盛行,犯罪分子通过木马远程控制受害者的电脑、手机,实施经济诈骗活动,提请企业微信用户一定要做好防范。

  1、木马特点

  ● 易传播
  通过搜索引擎下载、个人社交软件传播等手段传播,用户打开后中毒;
  ● 能远控
  中毒后,电脑、手机会被犯罪分子远程控制,以受害者名义进行诈骗;
  ● 难查杀
  通过各种手段规避杀毒软件的检测,对抗激烈。

 2、木马危害

  一旦受害者电脑、手机被控制,犯罪分子就以受害者名义对电脑、手机上的所有软件进行操作。包括但不限于:
  ● 传播木马
  将恶意木马文件转发至群聊,诱导群成员点击下载,导致更多设备被感染,从而控制更多用户的电脑、手机;
  ● 冒充同事、上级实施诈骗
  控制受害者个人社交账号,发送伪造的“国家财政补贴”、“绩效补贴”、“薪资补贴”等虚假网页,诱骗公司同事、企业客户付款或泄露敏感信息。

二、企业微信提示环境异常后的排查方法

  企业微信PC端在检测到以上威胁时,会将自身锁定,要求手机扫码验证。并通知风险成员及管理员,按相应提示处理。
  企业微信手机端在检测到以上威胁时,会自动从此设备退出登录,要求手机重新登录。并通知风险成员,按相应提示处理。

 1、企业微信检测到威胁时的表现

  ● 在 PC端检测到威胁时,企业微信PC端会退出登录,要求一定时间内用手机扫码重新登录,避免被坏人远程操控。

  ● 如果是手机端检测到威胁时,企业微信手机端会退出登录,并要求用户重新登录,避免被坏人远程操控。

 2、不同风险提示,建议的处理方式

  (1)在 PC端检测到威胁时,针对企业微信PC端退出登录后,会根据不同的风险,发送相应的提示到成员或管理员的企业微信APP上。
  ● 成员电脑上有远程操控行为
  此提示仅提示成员。如果当前远控行为非成员本人操作,建议退出企业微信PC端,对电脑进行全面杀毒。如果当前远控行为是本人确认无风险的正常工作需求,可通过电脑上安全验证的页面扫码验证,验证后24 小时内不会再次触发锁定。

  ● 成员电脑可能感染了病毒/木马
  针对电脑已经存在感染“银狐”病毒/木马的风险的成员,会收到下列锁定提示。此时一定要全面进行杀毒排查,否则会一直被锁定。

  同时企业管理员会收到下列企业微信安全团队下发的风险排查提醒:

  请及时将存在中毒风险的成员电脑所安装的杀毒软件及防火墙升级至最新版本,并进行病毒查杀,查杀清理病毒后重启电脑,以抵御各种木马软件和恶意软件攻击。
  下面以电脑管家为例,按以下步骤进行全面杀毒(详细操作指引可参考:腾讯电脑管家银狐专杀指南):

  若病毒已经手动清理,为确保病毒被彻底清除,请您完成以下两步操作:
  1. 重启设备:请务必点击 「开始菜单」→「重启」。请注意,必须是“重启”,切勿选择“关机”,并确保系统重启成功,以确保病毒完全清掉。
  2. 验证结果:重启完成后,请留意系统是否还会弹出病毒提醒或异常警告。
  若杀毒软件检测不出病毒,或是查杀清理病毒后仍再弹出病毒提醒或异常警告,你可以通过联系腾讯电脑管家安全专员进行专业、免费的人工排查,联系QQ: 3158116896 (腾讯电脑管家银狐专杀),或重新安装系统的方式来彻底修复系统环境。

  (2)在手机端检测到威胁时,针对企业微信手机端退出登录后, 会发送相应的提示到成员企业微信APP上。

  收到提醒后请及时按照下列指引,排查存在中毒风险的成员手机:
  ① 找到设置,搜索“无障碍”, 进去 无障碍里面的 “已下载应用”,查看是否有可疑的APP。

  ② 在手机桌面查看是否存在可疑的APP图标,可以尝试长按图标进行卸载,如果操作被木马拦截,你还可以通过以下方式卸载木马APP:
  a. 打开手机杀毒软件, 进入到应用管理,找到可疑的APP,进行卸载。
  b. 打开手机自带的“应用市场”, 找到应用卸载, 将可疑APP卸载。

 3、管理员如何排查风险成员

  企业微信将成员锁定后,会在管理端留下操作日志。管理员可登录管理后台或通过API获取成员操作日志,针对有风险的成员进行排查。
  ● 登录管理后台,打开安全与管理->管理工具->使用分析->成员操作记录,操作类型选择「锁定设备」

  ● 通过API拉取成员操作日志。

三、事后的补救措施

  当成员中毒,且被坏人利用发送了有害的信息后,需要对这些信息做出处置,以防危害进一步扩大。

  1、解散群或撤回群消息

  若中毒成员账号已经在群聊中发送了病毒文件、欺诈消息,需及时联系群主在群聊中撤回群消息、按需解散群聊、发送群公告警示。具体可参考【成员如何撤回会话消息

 2、欺诈日程处置

  若中毒成员账号已经创建了病毒、欺诈相关的日程,需及时联系该中毒成员删除;
  若日程创建人无法操作,超级管理员可在「管理后台->安全与管理->安全管理->数据资产交接」中,交接离职成员的日程给其他成员后,由交接的成员进行操作。具体可参考【如何使用「数据资产交接」

 3、欺诈邮件处置

  若中毒账号对外发送了含有病毒文件的邮件,中毒账号本人可以在【电脑端企业微信->邮件->已发送】中点击“撤回邮件”,支持撤回24小时内发送的邮件。
  企业管理员可以在【管理后台->协作->安全管理->撤回成员发信】,通过发件人或者主题信息自动匹配邮件后,点击“撤回”。具体可参考【「邮件撤回」功能介绍
  基础功能账号仅支持撤回24小时内,高级功能账号可撤回最近15天内发送的邮件。

 4、禁用成员

在中毒成员完成全面杀毒前,管理员可在「管理后台->通讯录」中找到对应账号操作禁用处理,完成全面杀毒后,可再重新启用账号。

四、事前的防范措施

   防患于未然才是最好的安全。我们建议管理员可参考【企业微信管理员安全指引】,做出如下防范措施。
  ● 加强企业全员的信息安全教育
  ● 严控加入企业的设置、通讯录相关接口的使用
  ● 加强员工账号的风险监测
  ● 加强管理员账号的自查,严控管理权限
  ● 保护企业内部信息安全