【病毒预警】时隔一月,“驱动人生”再现新型下载器木马病毒
2018年12月15日,亚信安全曾发布了利用“驱动人生”升级通道,并同时利用“永恒之蓝”高危漏洞传播的木马病毒预警通告。在此次攻击事件发生之后,亚信安全网络监测实验室对该病毒进行了持续跟踪,并发现攻击者通过云控指令对下载木马进行了持续性更新。
近日,亚信安全截获该下载木马的最新变种,其会在已感染的主机上,通过后门下载更新文件,植入最新版本的木马。其传播方式增加了通过RDP弱口令传播,并通过mimikatz窃取内存管理员密码在局域网内横向传播,亚信安全将其命名为Trojan.Win32.INFOSTEAL.ADT。
亚信安全详解最新病毒变种
该病毒恶意行为如下:
创建计划任务Ddrivers和启动项Ddriver来启动挖矿模块,与伪装的taskmgr.exe共享进程内存执行挖矿代码。
创建计划任务WebServers和启动项WebServers来安装用于下载木马的后门模块。
同时释放永恒之蓝攻击模块进行扩散攻击,通过mimikatz窃取内存管理员密码。
【获取的密码表】
亚信安全教你如何防范
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务);
打开系统自动更新,并检测更新进行安装;
系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序,详细信息请参考链接:https://technet.microsoft.com/library/security/MS17-010
XP和部分服务器版WindowsServer2003特别安全补丁,详细信息请参考链接:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
电脑设置高强度复杂密码,切勿使用弱口令,防止黑客暴力破解。
亚信安全产品解决方案
亚信安全最新病毒码版14.773.60、云病毒码14.773.71、全球码版本14.773.00包含此病毒检测,扫描引擎版本9.850及以上。
建议产品版本为OSCE 11+sp1及以上版本,开启行为检测功能,防御勒索病毒攻击。
亚信安全DS产品的DPI规则包含“永恒之蓝”漏洞检测,规则如下:
1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
亚信安全TDA已经可以检测“永恒之蓝”漏洞,规则如下:
TDA:2383:cve-2017-0144-Remote Code Executeion-SMB(Request)
亚信安全Deep Edge已经可以检测该漏洞,漏洞规则号如下:
1133635,1133636,1133637,1133638
总结:由于该病毒在周末爆发,尚有很多电脑处于关机状态,周一工作日开机需谨慎对待,请用户及时升级病毒码版本,并打上系统补丁程序,电脑设置高强度复杂密码。
行业热点:
亚信安全荣获2018年度“优秀技术支持单位“、”国家重大活动网络安全保卫技术支持单位”称号
了解亚信安全,请点击“阅读原文”