16
2018
12

“驱动人生”借高危漏洞传播病毒 半天感染万台电脑

时间:2018-12-16 18:40栏目:联系我们 点击: 78 次

版权作品,未经环球网Huanqiu.com书面授权,厉禁转载,违者将被追究法律义务。

责编:梁爽 分享: 保举浏览 添载更众 环球网简介| About huanqiu.com| 网站地图| 诚聘英才| 广告服务| 有关手段| 隐私政策| 服务条款| 偏见逆馈 #adP-Bot-right-float{ position: fixed; bottom: 0px; right: 0px;width: 336px; height: 280px; z-index: 2147483649; } #adP-Bot-right-float ins { z-index: 1000!important; } #adP-Bot-right-float .ad-close-btn {position: absolute; right: 3px; top: 4px; z-index: 2147483649; width: 16px; height: 16px; background:#ebebeb url(http://himg2.huanqiu.com/attach/ad/close.png) center no-repeat; cursor: pointer; }

  12月14日,火绒坦然团队发现“驱动人生”旗下众款柔件携带后门病毒DTStealer,仅半天时间感染了数万台电脑。该病毒进入电脑后,不息始末“永远之蓝”高危漏洞进走全网传播(稀奇是政企单位局域网),并回传被感染电脑的IP地址、CPU型号等新闻。

  样本SHA256:

  永远之蓝漏洞抨击

被凶意代码实走的CertUtil下载命令走参数,如下图所示:

  svhost.exe与代理进程

附录

  该病毒被下载到本地运走后,会将自己开释到System32(或SysWOW64)现在录下(C:WindowsSysWOW64svhost.exe),将该可实走文件注册为体系服务不息实走凶意代码,注册服务名为Ddriver。病毒运走进程有关图,如下图所示:

  请普及政企单位用户从火绒官网申请免费操纵"火绒企业版",网址:https://www.huorong.cn/essmgr/essreg。

  按照火绒坦然团队分析发现, “驱动人生”、“人生日历”、“USB宝盒”等柔件的用户会感染该病毒。病毒会同时实走两个义务:1、始末“永远之蓝”漏洞进走大面积传播。原由当局、企业等局域网用户操纵的体系较为老旧,存在大量未修复的漏洞,所以受到的胁迫较大;2、下载其它病毒模块,回传被感染电脑的IP地址、CPU型号等新闻。

推送病毒实走的升级模块与人生日历升级模块导出函数,如下图所示:

  火绒"企业版"和"幼我版"无需升级即可阻截、查杀该病毒。火绒团队提出当局、企业、私塾、医院等受此类病毒胁迫较大的局域网用户,安设操纵"火绒企业版"(可免费操纵3个月),可有效退守一切始末“永远之蓝”等高危漏洞传播的各栽病毒。

  火绒始末火绒终端胁迫情报体系检测,自12月14日正午首有病毒正在始末驱动人生的升级推送功能进走大量传播。驱动人生升级推送程序会始末网址链接(hxxp://pull.update.ackng.com/calendar/PullExecute/F79CB9D2893B254CC75DFB7F3E454A69.exe)将病毒样本下载到本地进走实走。驱动人生升级程序下载病毒样本行为,如下图所示:

  按照“火绒胁迫情报体系”监测,该病毒于14日下昼14点前后最先传播,之后逐渐添大传播速度,被感染电脑数目快捷上升,到晚间病毒服务器关闭,休止传播。火绒工程师推想,病毒团伙能够是在做传播测试,不倾轧后续进走更大周围的传播。

  始末同源代码比对,吾们发现推送病毒实走的升级模块,与人生日历升级模块代码存在同源性。同源代码,如下图所示:

乞求链接示例,如下图所示:

  乞求链接示例

  按照火绒终端胁迫情报体系,吾们发现下发实走病毒文件的升级程序路径众指向驱动人生旗下行使。有关升级程序路径新闻,如下图所示:

  父进程svhost.exe最先会搜集本机新闻,之后始末HTTP乞求将在本机搜集到的数据回传至C&C服务器地址(hxxp://i.haqo.net/i.png)。被回传的数据新闻,如下图所示:

  样本分析

  凶意代码下载到被抨击终端的病毒文件与svhost相通,下载后文件路径为c:install.exe,C&C服务器地址为:hxxp://dl.haqo.net。

  现在截获的病毒异国携带其他抨击模块,只是“暗藏”。病毒服务器只盛开了不到10个幼时即关闭,但是已经感染数万台电脑。

  svvhost.exe运走后会对现在所在网络扫描,操纵永远之蓝漏洞进走抨击。抨击成功后,凶意代码会始末CertUtil从C&C服务器下载病毒到被抨击终端进走实走。漏洞抨击及火绒暗客侵犯阻截截图,下图所示:

  该服务运走后,最先会在System32(或SysWOW64)开释svhhost.exe进走实走,该程序吾们且自称之为代理病毒;之后再创建svvhost.exe,该病毒用于始末永远之蓝漏洞将svhost.exe在网络中进走传播,下文分两个片面对两个差别的病毒模块进走分析。

  获取本机新闻数据,如下图所示:

  之后svhost.exe会从C&C服务器获取到添密的凶意代码下载链接,被下载的凶意代码实走手段分为两栽:在代理进程内存中添载实走和直接下载到本地(svvhost.exe)运走。一时,被下载实走的凶意代码只有svvhost.exe用来进走永远之蓝传播(C&C服务器地址:hxxp://dl.haqo.net/eb.exez),内存添载实走有关的功能链接一时异国被下发,吾们初步推想病毒尚处于测试阶段。有关代码,如下图所示:

  病毒分析片面:

代理进程获取到凶意代码数据后进走实走,如下图所示:


当前网址:http://www.fszo.world/nebjwfkiqutd/20515.html
相关内容
热点内容

Powered by 两码中特期期准免费 @2018 RSS地图 html地图