瑞星:“DTLMiner”再次更新 成为首个利用BlueKeep漏洞的病毒

  • 时间:
  • 浏览:0
  • 来源:UU快三官网-UU快三直播

近日,瑞星安全研究院再次捕获到知名挖矿木马病毒“DTLMiner”的最新变种,这是由于是该病毒自2018年年底至今的第20次更新。需用警惕的是,此次更新的变种不仅加大了对受害者电脑性能的压榨,一齐成为首个利用了BlueKeep漏洞(CVE-2019-0708)进行攻击的挖矿病毒。

据介绍,BlueKeep漏洞(CVE-2019-0708)是今年最新曝出的极具威胁性的漏洞,它允许恶意软件在没人用户交互的请况下自我群克隆,攻击者可借助远程桌面协议(RDS)连接到目标电脑,但是 对受害者的系统加以控制。值得注意的是,BlueKeep攻击可像蠕虫病毒一样被群克隆和传播,从而引发之类 WannaCry病毒那样的大规模勒索攻击。而目前BlueKeep漏洞已影响Windows XP、Windows Vista、Windows 7、Windows Server 4003和Windows Server 4008等操作系统中的远程桌面协议(RDP)服务。

瑞星在此次最新版本的“DTLMiner”中发现,病毒作者在上一一两个多版本的基础上对使用AMD Radeon显卡但是 操作系统是64位的电脑进行了更进一步的性能压榨,将原有的AMD显卡专用的挖矿模块替换为了蕴含显卡加速组件的挖矿模块,原来做的意义在于提升了显卡的挖矿下行速率 ,从而为病毒作者牟取更大的利益。

瑞星安全专家提醒,是由于最新版本的“DTLMiner”挖矿病毒利用了“杀伤力极大”的BlueKeep RCE漏洞,但是 广大用户尤其是还在使用Windows XP、Windows Vista、Windows 7、Windows Server 4003和Windows Server 4008等操作系统的用户,应提高警惕并加以防范。目前,瑞星旗下所有产品均已具备对该病毒的防御和查杀能力,广大用户可升级至最新版本进行使用。

图:瑞星安全云终端查杀“DTLMiner”挖矿病毒

一齐,是由于“DTLMiner”挖矿病毒会对企业用户带来极大的潜在威胁,要是应注意以下几点:

1.安装永恒之蓝漏洞补丁、“震网三代”(CVE-2017-8464)漏洞补丁以及BlueKeep(CVE-2019-0708)漏洞补丁,处置病毒通过漏洞植入;

2.系统和数据库并不使用弱口令账号密码;

3.多台机器并不使用相同密码,病毒会抓取本机密码,攻击局域网中的其它机器;

4.安装杀毒软件,保持防护开启。

技术分析

新版本对使用AMD Radeon显卡但是 操作系统是64位的机器使用了独立的脚原来进行挖矿模块的下载和执行。

图:远程下载并执行独立的脚本

图:去混淆后的独立脚本

在這個 独立的脚本中,病毒先创建互斥体,但是 在指定目录不位于OpenCL模块的请况下从服务器上下载该模块并解压,紧接着下载挖矿模块,验证MD5后将其加载进内存。

横向传播模块在本版本的变化较大,首先是修改了脚本单次最长运行时间,改为了3小时。

图:修改了最长运行时间

但是 是屏蔽了原有的RDP爆破模块,引入了新的模块。

图:RDP相关内容的修改

经过代码比对,亲戚亲戚朋友都可不可以 确认,新引入的模块即为BlueKeep漏洞(CVE-2019-0708)的检测模块。

检测模块在Github上仅有Ruby(适用于MetaSploit)和Python语言的版本,亲戚亲戚朋友推测作者应该是将Python语言的版本改写为了PowerShell语言的版本。而相关的大数处置模块,Github上有多量的C#语言的实现代码,作者可将代码原样拷贝至PowerShell脚本中,再调用add-type将其引入PowerShell中供脚本使用。

图:新增代码与BlueKeep漏洞检测代码深度图之类

图:网上已有的C#版本大数处置代码

图:使用add-type将代码引入PowerShell中

在检测到机器位于BlueKeep漏洞后,脚本将相关检测结果上报给了服务器,目前没人发现有进一步的操作。

图:检测到漏洞后将结果上报给服务器

“DTLMiner”挖矿木马更新时间线

IOC

MD5:

F7591BC2A9C6A85A640032ABDB53976DB

E7633ED33E400F6B0CEA833244138DD77

CB9C0F85F1E812CB6ECEEF73C5B8B5B6

F07621C7F6E8B34AD32901644049F3E1

URL:

hxxp://t.zer2.com/va.jsp

hxxp://down.ackng.com/opencl.zip

hxxp://down.ackng.com/m6sa.bin

猜你喜欢

豹赢安卓app下载预约下单立省500元!联想扬天S550限时预约中

在经历了史上最长“春节假期”事先,全面复工潮也将在下周或月底迎来。尽管新年一豹赢安卓app下豹赢安卓app下载载然后刚开始了了经历不少波折,但新年新气象,还是要以全新姿态进入职

2020-02-21

【三分时时彩开奖】【黄鹂】黄鹂价格和样子特点

在冬天饲养黄鹂晚上定要在室内,白天也要放进去避风的阳台上度过。遇太阳天还需提出去晒太阳以保持色彩艳丽。野生黄鹂多羽虱,如遇到你你这俩情形要反复给它清洗。辦法 是以温水洗

2020-02-21

【10分时时彩登录中心】大绯胸鹦鹉多少钱 价格范围在2400到3100不等

大绯胸鹦鹉几个钱,有其他的爱鸟人士非常喜欢饲养大绯胸鹦鹉,但是大绯胸鹦鹉的价格还是不一样的,有的地方大绯胸鹦鹉的价格是很高的,有的大绯胸鹦鹉的价格是很低的,大

2020-02-21

realme官方致歉:真我BudsAir黄色版延后发货

中关村在线消息:今天下午,realme真我手机官微发布致歉信表示,以后不可能 受到疫情影响,realme真我BudsAir黄色版不可能 延后发货,2月14日支付尾款的订单将

2020-02-21

【大发10分快三-极速10分快3】远离长假综合症——快速进入工作和学习状态

远离长假综合症——快速进入工作和学习情形2015/10/1914:38:13类型:原创来源:电脑报报纸编辑:电脑报作者:【电脑报在线】长假后的假期综合症成为亲们儿快速进入工作和

2020-02-21