主页 > 网络安全 > 正文

香港马会好彩风资料

2018-12-17 17:55来源:99科技综合编辑:顾小北

扫一扫

分享文章到微信

扫一扫

关注天空彩票与你同行cc45微信公众号

  原标题:警惕!驱动软件“驱动人生”存在后门可传播木马病毒
 
  概述
 
  2018年12月14日,国内Windows平台下免费驱动管理软件“驱动人生”通过软件自动升级的方式向用户推送了后门病毒DTSealer,该程序利用“永恒之蓝”高危漏洞进行局域网内的大范围传播,同时回传被感染用户电脑CPU以及IP地址等具体信息到攻击服务器,之后下载恶意代码进行执行。此次感染面积巨大,半天时间内已有数万用户电脑受到感染。此次木马传播事件的发生,是由于该软件的某些老版本升级组件代码漏洞被恶意攻击所造成。
 
  病毒详情
 
  ►病毒执行流程:
 
  “驱动人生”升级推送程序会通过网址链接将恶意程序下载到本地进行执行,然后释放自身到System32系统目录下并生成32位母体程序svhost.exe,同时将自身注册为系统服务执行后续的相关任务。在svhost.exe(32位)执行过程中会上传用户电脑配置信息,并且下载恶意程序eb.exez。在执行完成后释放出64位变体程序svhhost.exe,其将作为代理程序释放出svvhost.exe攻击模块,该攻击模块会执行扫描局域网操作,然后利用windows下高危漏洞“永恒之蓝”传播32位母体svhost.exe,扩大感染面积。具体流程如下图所示:

    整体执行流程

    ►相关模块具体分析:svhost.exe(32位与64位版)

    1)注册自身为Ddriver服务:

    注册服务名

    2)获取系统产品号以及显卡等信息:

    获取显卡信息

    3) 查看安全软件信息,从下图可以看出主流安全软件都罗列在内。

  原标题:警惕!驱动软件“驱动人生”存在后门可传播木马病毒    概述    2018年12月14日,国内Windows平台下免费驱动管理软件“驱动人生”通过软件自动升级的方式向用户推送了后门病毒DTSealer,该程序利用“永恒之蓝”高危漏洞进行局域网内的大范围传播,同时回传被感染用户电脑CPU以及IP地址等具体信息到攻击服务器,之后下载恶意代码进行执行。此次感染面积巨大,半天时间内已有数万用户电脑受到感染。此次木马传播事件的发生,是由于该软件的某些老版本升级组件代码漏洞被恶意攻击所造成。    病毒详情    ►病毒执行流程:    “驱动人生”升级推送程序会通过网址链接将恶意程序下载到本地进行执行,然后释放自身到System32系统目录下并生成32位母体程序svhost.exe,同时将自身注册为系统服务执行后续的相关任务。在svhost.exe(32位)执行过程中会上传用户电脑配置信息,并且下载恶意程序eb.exez。在执行完成后释放出64位变体程序svhhost.exe,其将作为代理程序释放出svvhost.exe攻击模块,该攻击模块会执行扫描局域网操作,然后利用windows下高危漏洞“永恒之蓝”传播32位母体svhost.exe,扩大感染面积。具体流程如下图所示:

    获取安全软件信息

    4) 将获取到的用户电脑信息作为请求参数获得shellcode指令执行。从请求URL可以看出之前获取到用户名称以及CPU,UUID等相关信息。

  原标题:警惕!驱动软件“驱动人生”存在后门可传播木马病毒    概述    2018年12月14日,国内Windows平台下免费驱动管理软件“驱动人生”通过软件自动升级的方式向用户推送了后门病毒DTSealer,该程序利用“永恒之蓝”高危漏洞进行局域网内的大范围传播,同时回传被感染用户电脑CPU以及IP地址等具体信息到攻击服务器,之后下载恶意代码进行执行。此次感染面积巨大,半天时间内已有数万用户电脑受到感染。此次木马传播事件的发生,是由于该软件的某些老版本升级组件代码漏洞被恶意攻击所造成。    病毒详情    ►病毒执行流程:    “驱动人生”升级推送程序会通过网址链接将恶意程序下载到本地进行执行,然后释放自身到System32系统目录下并生成32位母体程序svhost.exe,同时将自身注册为系统服务执行后续的相关任务。在svhost.exe(32位)执行过程中会上传用户电脑配置信息,并且下载恶意程序eb.exez。在执行完成后释放出64位变体程序svhhost.exe,其将作为代理程序释放出svvhost.exe攻击模块,该攻击模块会执行扫描局域网操作,然后利用windows下高危漏洞“永恒之蓝”传播32位母体svhost.exe,扩大感染面积。具体流程如下图所示:

    获取shellcode

    5) 从服务器hxxp://dl.haqo.net/获取加密的恶意代码eb.exez(svvhost.exe母体)进行执行。

  原标题:警惕!驱动软件“驱动人生”存在后门可传播木马病毒    概述    2018年12月14日,国内Windows平台下免费驱动管理软件“驱动人生”通过软件自动升级的方式向用户推送了后门病毒DTSealer,该程序利用“永恒之蓝”高危漏洞进行局域网内的大范围传播,同时回传被感染用户电脑CPU以及IP地址等具体信息到攻击服务器,之后下载恶意代码进行执行。此次感染面积巨大,半天时间内已有数万用户电脑受到感染。此次木马传播事件的发生,是由于该软件的某些老版本升级组件代码漏洞被恶意攻击所造成。    病毒详情    ►病毒执行流程:    “驱动人生”升级推送程序会通过网址链接将恶意程序下载到本地进行执行,然后释放自身到System32系统目录下并生成32位母体程序svhost.exe,同时将自身注册为系统服务执行后续的相关任务。在svhost.exe(32位)执行过程中会上传用户电脑配置信息,并且下载恶意程序eb.exez。在执行完成后释放出64位变体程序svhhost.exe,其将作为代理程序释放出svvhost.exe攻击模块,该攻击模块会执行扫描局域网操作,然后利用windows下高危漏洞“永恒之蓝”传播32位母体svhost.exe,扩大感染面积。具体流程如下图所示:

    下载svvhost.exe

    ►相关模块具体分析:svvhost.exe

    快速枚举局域网中主机的445端口,使用永恒之蓝漏洞进行攻击,运行界面会回显出当前局域网主机版本以及是否打过补丁。攻击成功后下载svhost副本,增加受感染主机数量。

  原标题:警惕!驱动软件“驱动人生”存在后门可传播木马病毒    概述    2018年12月14日,国内Windows平台下免费驱动管理软件“驱动人生”通过软件自动升级的方式向用户推送了后门病毒DTSealer,该程序利用“永恒之蓝”高危漏洞进行局域网内的大范围传播,同时回传被感染用户电脑CPU以及IP地址等具体信息到攻击服务器,之后下载恶意代码进行执行。此次感染面积巨大,半天时间内已有数万用户电脑受到感染。此次木马传播事件的发生,是由于该软件的某些老版本升级组件代码漏洞被恶意攻击所造成。    病毒详情    ►病毒执行流程:    “驱动人生”升级推送程序会通过网址链接将恶意程序下载到本地进行执行,然后释放自身到System32系统目录下并生成32位母体程序svhost.exe,同时将自身注册为系统服务执行后续的相关任务。在svhost.exe(32位)执行过程中会上传用户电脑配置信息,并且下载恶意程序eb.exez。在执行完成后释放出64位变体程序svhhost.exe,其将作为代理程序释放出svvhost.exe攻击模块,该攻击模块会执行扫描局域网操作,然后利用windows下高危漏洞“永恒之蓝”传播32位母体svhost.exe,扩大感染面积。具体流程如下图所示:

  枚举局域网中的445端口
 
  安全解决方案
 
  迪普科技安全研究院提醒广大用户:对于已经感染主机,建议尽快对感染主机进行断网隔离,可以通过查看系统目录
 
  C:\Windows\SysWOW64(system32)下是否存在svhost.exe\svhhost.exe文件,以及查找“Ddriver”服务定位删除恶意文件。
 
  此外,可参考如下建议提高防御能力:
 
  1、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
 
  2、服务器暂时关闭不必要的端口(如135、139、445);
 
  3、尽量关闭不必要的文件共享;
 
  4、及时升级系统补丁。
 
  迪普科技解决方案
 
  迪普科技安全研究院监测到“驱动人生”木马病毒爆发后,迅速采取了应急措施。
 
  1、目前DPtech IPS2000、FW1000可对“驱动人生”所传播病毒可以进行有效防护,对应特征库版本号如下:
 
  ◆产品系列:
 
  IPS2000,FW1000
 
  ◆病毒库版本:AV-R1.4.466
 
  2、使用DPtech慧眼安全检测产品资产盘点功能,快速识别出现网开启高危端口的资产;使用安全漏洞检测功能识别出易被病毒感染的高危风险资产,并根据相应的修复建议进行安全加固。
 
  3、在接入层部署DPtech LSW3600-SE系列自安全交换机,可使网络接入主动识别木马、蠕虫等病毒传播行为并实时处置,天然防止病毒传播;可视化定位病毒传播源,帮助管理员快速处理内网威胁。
 
  4、迪普科技官网特征库下载地址:
 
  https://www.dptech.com/down.php?3
 
  联系我们
 
  迪普科技正在全力跟踪相关漏洞的最新进展,请启动设备自动更新特征库功能,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话:400-6100-598,进一步了解相关情况。

     投稿邮箱:jiujiukejiwang@163.com   详情访问天空彩票与你同行cc45:https://www.bobforohio.com

相关推荐
视频加密软件翘楚 金狮视频加密 视频加密软件翘楚 金狮视频加密

原标题:视频加密软件翘楚 金狮视频加密 随着线上教育的兴起,市场上的视频

网络安全2018-11-26

53款吸费APP遭工信部点名 小米、360软件商店成重 53款吸费APP遭工信部点名 小米、360软件商店成重

原标题:53款吸费APP遭工信部点名 小米、360软件商店成重灾区 53款APP吸费。安卓

网络安全2018-11-07

53款吸费APP遭工信部点名 小米、360软件商店成重 53款吸费APP遭工信部点名 小米、360软件商店成重

原标题:53款吸费APP遭工信部点名 小米、360软件商店成重灾区 53款APP吸费。安卓

网络安全2018-11-07

卡巴斯基:未曾推出苹果iOS杀毒软件,iOS很安全 卡巴斯基:未曾推出苹果iOS杀毒软件,iOS很安全

原标题:卡巴斯基:未曾推出苹果iOS杀毒软件,iOS很安全 本月,卡巴斯基旗下

网络安全2018-10-10

英特尔处理器再现安全漏洞 尚未发布补丁软件修 英特尔处理器再现安全漏洞 尚未发布补丁软件修

原标题:英特尔处理器再现安全漏洞 尚未发布补丁软件修正该漏洞 凤凰网科技

网络安全2018-06-28

4个被人忽视的windows软件 一安装就不想卸载 4个被人忽视的windows软件 一安装就不想卸载

原标题:4个被人忽视的windows软件 一安装就不想卸载 以前只要是那些会使用软

网络安全2018-06-14

FB软件出现漏洞遭遇隐私丑闻  股价下跌1.65% FB软件出现漏洞遭遇隐私丑闻 股价下跌1.65%

原标题:FB软件出现漏洞遭遇隐私丑闻 股价下跌1.65% 据外媒报道,全球最大的社

网络安全2018-06-08

Java案或牵出Linux侵权:软件界面临大灾变 Java案或牵出Linux侵权:软件界面临大灾变

原标题:Java案或牵出Linux侵权:软件界面临大灾变 前不久,美国联邦巡回上诉法

网络安全2018-04-09

用Wi-Fi分享软件:稍不留神被套路 用Wi-Fi分享软件:稍不留神被套路

原标题:用Wi-Fi分享软件:稍不留神被套路 打开手机中的WiFi分享软件,即使不

网络安全2018-04-02

新的Android恶意软件“HiddenMiner” 利用设备的计算 新的Android恶意软件“HiddenMiner” 利用设备的计算

原标题:新的Android恶意软件HiddenMiner 利用设备的计算能力挖掘门罗币 消息,据

网络安全2018-03-31