ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → “驱动人生”利用高危漏洞进行传播病毒 10小时感染数万台电脑

“驱动人生”利用高危漏洞进行传播病毒 10小时感染数万台电脑

时间:2018-12-16 00:00:00人气:作者:本站作者我要评论

一、概述

12月14日,火绒安全团队发现"驱动人生"旗下多款软件携带后门病毒DTStealer,仅半天时间感染了数万台电脑。该病毒进入电脑后,继续通过"永恒之蓝"高危漏洞进行全网传播(特别是政企单位局域网),并回传被感染电脑的IP地址、CPU型号等信息。

目前截获的病毒没有携带其他攻击模块,只是"潜伏"。病毒服务器只开放了不到10个小时即关闭,但是已经感染数万台电脑。

根据火绒安全团队分析发现, "驱动人生"、"人生日历"、"USB宝盒"等软件的用户会感染该病毒。病毒会同时执行两个任务:1、通过"永恒之蓝"漏洞进行大面积传播。由于政府、企业等局域网用户使用的系统较为老旧,存在大量未修复的漏洞,因此受到的威胁较大;2、下载其它病毒模块,回传被感染电脑的IP地址、CPU型号等信息。

根据"火绒威胁情报系统"监测,该病毒于14日下午14点前后开始传播,之后逐步加大传播速度,被感染电脑数量迅速上升,到晚间病毒服务器关闭,停止传播。火绒工程师推测,病毒团伙可能是在做传播测试,不排除后续进行更大规模的传播。

火绒"企业版"和"个人版"无需升级即可拦截、查杀该病毒。火绒团队建议政府、企业、学校、医院等受此类病毒威胁较大的局域网用户,安装使用"火绒企业版"(可免费使用3个月),可有效防御所有通过"永恒之蓝"等高危漏洞传播的各种病毒。

二、样本分析

火绒通过火绒终端威胁情报系统检测,自12月14日午时起有病毒正在通过驱动人生的升级推送功能进行大量传播。驱动人生升级推送程序会通过网址链接:

hxxp://pull.update.ackng.com/calendar/PullExecute/F79CB9D2893B254CC75DFB7F3E454A69.exe

将病毒样本下载到本地进行执行。驱动人生升级程序下载病毒样本动作,如下图所示:

该病毒被下载到本地运行后,会将自身释放到System32(或SysWOW64)目录下(C:\Windows\SysWOW64\svhost.exe),将该可执行文件注册为系统服务继续执行恶意代码,注册服务名为Ddriver。

该服务运行后,首先会在System32(或SysWOW64)释放svhhost.exe进行执行,该程序我们暂且称之为代理病毒;之后再创建svvhost.exe,该病毒用于通过永恒之蓝漏洞将svhost.exe在网络中进行传播,下文分两个部分对两个不同的病毒模块进行分析。

永恒之蓝漏洞攻击

svvhost.exe运行后会对当前所在网络扫描,使用永恒之蓝漏洞进行攻击。攻击成功后,恶意代码会通过CertUtil从C&C服务器下载病毒到被攻击终端进行执行。漏洞攻击及火绒黑客入侵拦截截图,下图所示:

恶意代码下载到被攻击终端的病毒文件与svhost相同,下载后文件路径为c:\install.exe,C&C服务器地址为:hxxp://dl.haqo.net。

svhost.exe与代理进程

父进程svhost.exe首先会收集本机信息,之后通过HTTP请求将在本机收集到的数据回传至C&C服务器地址(hxxp://i.haqo.net/i.png)。

之后svhost.exe会从C&C服务器获取到加密的恶意代码下载链接,被下载的恶意代码执行方式分为两种:在代理进程内存中加载执行和直接下载到本地(svvhost.exe)运行。暂时,被下载执行的恶意代码只有svvhost.exe用来进行永恒之蓝传播(C&C服务器地址:hxxp://dl.haqo.net/eb.exez)

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网