近期，火绒安全实验室收到有关用户电脑网络出现异常的反馈，溯源发现，此异常由 StilachiRAT 后门病毒引发。该病毒通过破坏安全软件的 TCP 连接与添加防火墙过滤规则的方式限制网络通信。此病毒具备利用动态解密获取字符串和函数地址来迟缓逆向分析效率的能力，还会利用 WMI 服务获取系统信息等手段检测虚拟机。其攻击行为包括窃取剪切板、文件或窗口中的密码、虚拟货币钱包地址、存于 Chrome 浏览器中的登录秘钥等数据，还可通过后门实现截屏和执行任意程序等操作。目前，火绒安全产品可对上述窃密木马进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。