瑞星:“DTLMiner”再次更新 成为首个利用BlueKeep漏洞的病毒

  • 时间:
  • 浏览:2
  • 来源:UU快三官网-UU快三直播

近日,瑞星安全研究院再次捕获到知名挖矿木马病毒“DTLMiner”的最新变种,这是由于是该病毒自2018年年底至今的第20次更新。需用警惕的是,此次更新的变种不仅加大了对受害者电脑性能的压榨,一齐成为首个利用了BlueKeep漏洞(CVE-2019-0708)进行攻击的挖矿病毒。

据介绍,BlueKeep漏洞(CVE-2019-0708)是今年最新曝出的极具威胁性的漏洞,它允许恶意软件在没人用户交互的请况下自我群克隆,攻击者可借助远程桌面协议(RDS)连接到目标电脑,但是 对受害者的系统加以控制。值得注意的是,BlueKeep攻击可像蠕虫病毒一样被群克隆和传播,从而引发之类 WannaCry病毒那样的大规模勒索攻击。而目前BlueKeep漏洞已影响Windows XP、Windows Vista、Windows 7、Windows Server 4003和Windows Server 4008等操作系统中的远程桌面协议(RDP)服务。

瑞星在此次最新版本的“DTLMiner”中发现,病毒作者在上一一两个多版本的基础上对使用AMD Radeon显卡但是 操作系统是64位的电脑进行了更进一步的性能压榨,将原有的AMD显卡专用的挖矿模块替换为了蕴含显卡加速组件的挖矿模块,原来做的意义在于提升了显卡的挖矿下行速率 ,从而为病毒作者牟取更大的利益。

瑞星安全专家提醒,是由于最新版本的“DTLMiner”挖矿病毒利用了“杀伤力极大”的BlueKeep RCE漏洞,但是 广大用户尤其是还在使用Windows XP、Windows Vista、Windows 7、Windows Server 4003和Windows Server 4008等操作系统的用户,应提高警惕并加以防范。目前,瑞星旗下所有产品均已具备对该病毒的防御和查杀能力,广大用户可升级至最新版本进行使用。

图:瑞星安全云终端查杀“DTLMiner”挖矿病毒

一齐,是由于“DTLMiner”挖矿病毒会对企业用户带来极大的潜在威胁,要是应注意以下几点:

1.安装永恒之蓝漏洞补丁、“震网三代”(CVE-2017-8464)漏洞补丁以及BlueKeep(CVE-2019-0708)漏洞补丁,处置病毒通过漏洞植入;

2.系统和数据库并不使用弱口令账号密码;

3.多台机器并不使用相同密码,病毒会抓取本机密码,攻击局域网中的其它机器;

4.安装杀毒软件,保持防护开启。

技术分析

新版本对使用AMD Radeon显卡但是 操作系统是64位的机器使用了独立的脚原来进行挖矿模块的下载和执行。

图:远程下载并执行独立的脚本

图:去混淆后的独立脚本

在這個 独立的脚本中,病毒先创建互斥体,但是 在指定目录不位于OpenCL模块的请况下从服务器上下载该模块并解压,紧接着下载挖矿模块,验证MD5后将其加载进内存。

横向传播模块在本版本的变化较大,首先是修改了脚本单次最长运行时间,改为了3小时。

图:修改了最长运行时间

但是 是屏蔽了原有的RDP爆破模块,引入了新的模块。

图:RDP相关内容的修改

经过代码比对,亲戚亲戚朋友都可不可以 确认,新引入的模块即为BlueKeep漏洞(CVE-2019-0708)的检测模块。

检测模块在Github上仅有Ruby(适用于MetaSploit)和Python语言的版本,亲戚亲戚朋友推测作者应该是将Python语言的版本改写为了PowerShell语言的版本。而相关的大数处置模块,Github上有多量的C#语言的实现代码,作者可将代码原样拷贝至PowerShell脚本中,再调用add-type将其引入PowerShell中供脚本使用。

图:新增代码与BlueKeep漏洞检测代码深度图之类

图:网上已有的C#版本大数处置代码

图:使用add-type将代码引入PowerShell中

在检测到机器位于BlueKeep漏洞后,脚本将相关检测结果上报给了服务器,目前没人发现有进一步的操作。

图:检测到漏洞后将结果上报给服务器

“DTLMiner”挖矿木马更新时间线

IOC

MD5:

F7591BC2A9C6A85A640032ABDB53976DB

E7633ED33E400F6B0CEA833244138DD77

CB9C0F85F1E812CB6ECEEF73C5B8B5B6

F07621C7F6E8B34AD32901644049F3E1

URL:

hxxp://t.zer2.com/va.jsp

hxxp://down.ackng.com/opencl.zip

hxxp://down.ackng.com/m6sa.bin

猜你喜欢

【分分时时彩计划免费版】青龙鱼饲养 需要准备一个足够大的鱼缸

    青龙鱼饲养,随着太满的人喜欢养鱼,在选着观赏鱼中也不都不选着龙鱼中的青龙鱼,青龙鱼更是新手入门级的龙鱼,很适合新手亲戚亲戚大家饲养,这

2020-04-02

3分6合快乐触手可得,翼支付第二季度优惠予取予求

快乐触手可得,翼支付第二季度优惠予取予求......4月春暖,中国3分6合电信北京公司翼支付第二季度优惠活动如期而至。本季优惠活动,依然是电信、联通、移动全网用户普惠,线上线下

2020-04-02

3分飞艇ipad版2019声网赋能全行业:探索前沿技术、产品服务不断升级

3分飞艇ipad版据Gartner预测,2020年全球互联设备的规模将达到250亿台,是2015年的5倍之多。没办法 海量设备间的互联互动将是一两个 巨大的实时网络,API

2020-04-02

爱购彩官方安卓-爱购彩彩票官方安卓虚拟运营商掀电信市场互联网化 服务创新成发展核心互联网资讯

今天是中国传统节日元宵节,一并也是传统节日情人节。双节巧合般一并临至或隐含着对于我国通信业目前火热的虚拟运营商市场的“天意”。据说,情人节与元宵节恰为同一天每19年才会遇到一次

2020-04-02

现金平台代理-现金彩票平台代理AMD京东618火热进行中 返场季大促等你来

AMD京东618火热进行中返场季大促等你来......AMD京东618活动刚刚 接近尾声了现金平台代理-现金彩票平台代理,相信广大用户在非常火热的有一4个阶段中都购买到了让当

2020-04-02