【病毒预警】每月一次？“驱动人生”再现新型下载木马变种

Original 你信任的亚信安全 2022-08-17

去年12月份，亚信安全首次发布了利用“驱动人生”升级通道传播的高危病毒预警，在发布预警之后，亚信安全网络监测实验室对该病毒进行了持续追踪，我们发现攻击者通过云控指令对下载木马进行持续性更新。

近日，亚信安全截获该下载木马的最新变种，除了利用“永恒之蓝”漏洞以及1月新增的RDP弱口令传播外，其增加了MsSQL数据库弱口令爆破功能，爆破成功后其会在目标计算机中添加一个名为“k8h3d”的帐户并植入后门程序，亚信安全将下载木马命名为Trojan.Win32.ZPEVDO.AE。

亚信安全详解：Trojan.Win32.ZPEVDO.AE病毒技术

Trojan.Win32.ZPEVDO.AE木马生成如下文件：

木马配置文件新增了弱口令字典，用于MsSQL数据库爆破：

爆破成功后，该变种会在目标计算机中添加一个名为“k8h3d”的帐户并植入后门。

亚信安全教你如何防范

利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）；
打开系统自动更新，并检测更新进行安装；
系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序，详细信息请参考链接：https://technet.microsoft.com/library/security/MS17-010
XP和部分服务器版WindowsServer2003特别安全补丁，详细信息请参考链接：https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
电脑设置高强度复杂密码，切勿使用弱口令，防止黑客暴力破解；
数据库设置高强度复杂登录密码。

亚信安全产品解决方案

亚信安全最新病毒码版14.835.60、云病毒码14.835.71、全球码版本14.837.00包含此病毒检测，扫描引擎版本9.850及以上。
建议产品版本为OSCE 11+sp1及以上版本，开启行为监测功能，防御勒索病毒攻击。
亚信安全DS产品的DPI规则包含“永恒之蓝”漏洞检测，规则如下：1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
亚信安全TDA已经可以检测“永恒之蓝”漏洞，规则如下：
TDA：2383:cve-2017-0144-Remote Code Executeion-SMB(Request)
亚信安全Deep Edge已经可以检测该漏洞，漏洞规则号如下：1133635,1133636,1133637,1133638

总结：“驱动人生”病毒自从诞生以来，其下载木马文件处于持续更新状态，其每次更新都会新增功能模块，在经历多次更新之后，通过“驱动人生”更新通道下发的木马已经构建了一个庞大的僵尸网络。我们建议用户打全系统补丁，设置强口令，有效阻挡病毒进入系统。

行业热点：

亚信安全：2019年安全威胁预测

了解亚信安全，请点击“阅读原文”