<blockquote id="pww52"></blockquote>

          <div id="pww52"><tr id="pww52"><object id="pww52"></object></tr></div>
          <div id="pww52"></div>
        1. <div id="pww52"></div>
        2. 首页 > IT业界 > 正文

          瑞星预警:“永恒之蓝”挖矿病毒最新变种来袭 国内各省均有用户感染

          2019-03-22 15:09:20  来源:

          摘要:瑞星捕获到利用“永恒之蓝”漏洞传播的挖矿病毒MsraMiner出现最新变种
          关键词: 瑞星
           近日,瑞星捕获到利用“永恒之蓝”漏洞传播的挖矿病毒MsraMiner出现最新变种,经瑞?#21069;?#20840;专家查验,国内各省已均有用户感染。由于该病毒采用蠕虫的方式进行传播,一旦有用户感染,就会导致网内其他用户遭受牵连,造成机器卡顿和蓝屏等现象,所以未来该病毒存在大范围传播的风险。
           
                利用“永恒之蓝”漏洞传播的挖矿病毒MsraMiner第一次出现是在2017年5月,该病毒使用NSA泄露的“永恒之蓝”攻击工具传播挖矿病毒。病毒作者直到现在还在持续更新对抗查杀,通过内网传播和外网下载的攻击方式,组建了大量的僵尸网络,极大的增加了查杀难度。
           
                挖矿病毒MsraMiner最新变种仍采用与之前相同的攻击方式,?#36824;?#36827;行了一定升级,将挖矿相关字符串进行大量替换,伪装?#19978;?#32479;服务名称对抗查杀。同时,病毒作者为了让挖矿病毒持久驻留,当检测到系统任务管理器启动时,挖矿进程会自动退出。任务管理器关闭后,挖矿进程又会重新启动,病毒变得更加隐蔽。服务模块也由固定名称改成随机?#21019;?#30340;字符串名称,用来躲避杀软查杀。
           
           
                瑞?#21069;?#20840;专家提醒广大用户,虽然病毒的传播能力在不断提升,但是及时更新系统补丁,可以在很大程度上免受黑客的攻击。除此之外,采取以下防御措施,可防止更多类似病毒的侵害:
           
                1、建议优先安装“永恒之蓝”漏洞补丁。
                2、若补丁安装失败,可开启防火墙关闭445端口。
                3、安装杀毒软件保持防御开启,及时升级病毒库。
           
                技术分析
           
                挖矿病毒MsraMine最新变种的病毒母体运行后释放服务模块,释放的服务模块名称随机?#21019;鍘?#20363;如:ApplicationTimeHost.dll
           
          图:释放服务模块
           
                从以下字符串?#37266;?#21462;?#21019;鍘?/span>
           
          图:?#21019;?#26381;务模块名称用到的字符串
           
                不同机器服务名称不同,都是通过以上字符串?#21019;?#32452;合而成。服务名称和释放的服务dll文件名称相同。
           
          图:创建的服务
           
          图:服务名称和释放的服务模块dll名称相同
           
                释放“永恒之蓝”攻击工具包到C:\Windows\NetworkDistribution目录,攻击网络中的其它机器。
           
          图:释放“永恒之蓝”攻击工具包
           
           
          图:调用攻击模块攻击网络中的其它机器
           
                释放挖矿模块dllhostex.exe,挖矿消耗系统资?#30784;?#25366;矿模块使用开源挖矿程序修改而来,此版本将挖矿相关字符串进行了大量的替换,进一步对抗查杀。
           
           
          图:挖矿模块
           
                病毒作者为了让挖矿病毒持久驻留,当检测到系统任务管理器启动时,挖矿进程会自动退出。任务管理器关闭后,挖矿进程又会重新启动,病毒变得更加隐蔽。
           
                 用微软增强的进程查看工具 Process Explorer  可以看到挖矿进程
           
            图:挖矿进程
           
                IOC
           
                C&C
                iron.tenchier.com
                z.totonm.com
                185.128.24.101
           
                MD5
                80402E15A81E4F513980857455EB5A9C
                6DC722C9844E61427A47A2759A8FBEC0
                95786B6C28BF8DBA7BBFEEBA9E1EC27A
               386FEADCAD055F4EA712DD39D80BB700
                297C855681A872F80AADA938F60EF33A
                56DA116D25207847797FE5F8B085C1B1
                F5A7B1F998390241F5C10CBDDFE88647

          第二十八届CIO班招生
          法国布雷?#22266;?#21830;学院MBA班招生
          法国布雷?#22266;?#21830;学院硕士班招生
          法国布雷?#22266;?#21830;学院DBA班招生
          责编:chenjian
          湖北体彩11选5走势图

          <blockquote id="pww52"></blockquote>

                <div id="pww52"><tr id="pww52"><object id="pww52"></object></tr></div>
                <div id="pww52"></div>
              1. <div id="pww52"></div>

                <blockquote id="pww52"></blockquote>

                      <div id="pww52"><tr id="pww52"><object id="pww52"></object></tr></div>
                      <div id="pww52"></div>
                    1. <div id="pww52"></div>
                    2. 排列五走势图彩经网 3d彩票投注网站 河北11选5遗漏表 青海快三最新开奖 韩国快乐8 体彩顶呱刮20倍现金 好运快3彩票怎么玩 河南快赢481走势图百度乐彩网官网 安徽快三和值奖金 体彩山东时时彩 浙江福彩东方6十1走势图 六肖中特 春秋 浙江3人争夺彩票大奖 山东十一选五复式一中一计划 极速十一选五计划