瑞星预警:“永恒之蓝”挖矿病毒最新变种来袭 国内各省均有用户感染
瑞星预警:“永恒之蓝”挖矿病毒最新变种来袭 国内各省均有用户感染
2019-03-22 15:09:20 来源:
抢沙发
2019-03-22 15:09:20 来源:
摘要:瑞星捕获到利用“永恒之蓝”漏洞传播的挖矿病毒MsraMiner出现最新变种
关键词:
瑞星
近日,瑞星捕获到利用“永恒之蓝”漏洞传播的挖矿病毒MsraMiner出现最新变种,经瑞星安全专家查验,国内各省已均有用户感染。由于该病毒采用蠕虫的方式进行传播,一旦有用户感染,就会导致网内其他用户遭受牵连,造成机器卡顿和蓝屏等现象,所以未来该病毒存在大范围传播的风险。
利用“永恒之蓝”漏洞传播的挖矿病毒MsraMiner第一次出现是在2017年5月,该病毒使用NSA泄露的“永恒之蓝”攻击工具传播挖矿病毒。病毒作者直到现在还在持续更新对抗查杀,通过内网传播和外网下载的攻击方式,组建了大量的僵尸网络,极大的增加了查杀难度。
挖矿病毒MsraMiner最新变种仍采用与之前相同的攻击方式,不过进行了一定升级,将挖矿相关字符串进行大量替换,伪装成系统服务名称对抗查杀。同时,病毒作者为了让挖矿病毒持久驻留,当检测到系统任务管理器启动时,挖矿进程会自动退出。任务管理器关闭后,挖矿进程又会重新启动,病毒变得更加隐蔽。服务模块也由固定名称改成随机拼凑的字符串名称,用来躲避杀软查杀。
瑞星安全专家提醒广大用户,虽然病毒的传播能力在不断提升,但是及时更新系统补丁,可以在很大程度上免受黑客的攻击。除此之外,采取以下防御措施,可防止更多类似病毒的侵害:
1、建议优先安装“永恒之蓝”漏洞补丁。
2、若补丁安装失败,可开启防火墙关闭445端口。
3、安装杀毒软件保持防御开启,及时升级病毒库。
技术分析
挖矿病毒MsraMine最新变种的病毒母体运行后释放服务模块,释放的服务模块名称随机拼凑。例如:ApplicationTimeHost.dll
图:释放服务模块
从以下字符串中选取拼凑。
图:拼凑服务模块名称用到的字符串
不同机器服务名称不同,都是通过以上字符串拼凑组合而成。服务名称和释放的服务dll文件名称相同。
图:创建的服务
图:服务名称和释放的服务模块dll名称相同
释放“永恒之蓝”攻击工具包到C:\Windows\NetworkDistribution目录,攻击网络中的其它机器。
图:释放“永恒之蓝”攻击工具包
图:调用攻击模块攻击网络中的其它机器
图:挖矿模块
图:挖矿进程
责编:chenjian
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
