AgentTesla 病毒解析：利用钓鱼邮件窃取终端隐私数据

2014 年以来，AgentTesla 病毒持续活跃，逐渐成为全球互联网中的主要病毒威胁之一。根据火绒终端威胁情报系统统计，近年来 AgentTesla 病毒影响终端数量趋势整体呈快速上升态势。

AgentTesla 病毒主要通过钓鱼邮件进行传播，钓鱼邮件内容多会伪装成装运建议、财务报表或预付款通知单等，邮件附件中包含 AgentTesla 病毒。当用户被诱导点击运行病毒后，病毒即会窃取用户终端上的隐私数据并上传 C&C 服务器。

AgentTesla 病毒样本通常使用混淆器，通过数据加密、代码加密、控制流混淆等多种混淆方式藏匿自身病毒特征，对抗安全软件查杀。除此之外，混淆器还会通过反虚拟机和反调试器等手段，对抗逆向分析。

AgentTesla 病毒的主要危害是窃取用户终端中的隐私数据，隐私数据包括用户浏览器登录凭证、FTP 软件登录凭证、电子邮件登录凭证、键盘记录信息、屏幕截图、用户系统配置信息等。除此之外，还会通过篡改注册表键值的方式，禁用系统安全设置，降低系统安全性。

火绒安全提醒用户不要轻易点击来历不明的邮件附件。“火绒安全软件”可针对 Agent Tesla 病毒进行查杀。我们也将持续跟踪该病毒的最新变种。