产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
威胁研究
正文
正文驱动人生升级通道传播木马,2小时感染十万台电脑
2018-12-14 17:33:25
12月14日下午,腾讯安全御见威胁情报中心监测发现,一款通过驱动人生升级通道,并同时利用永恒系列高危漏洞传播的木马突然爆发,仅2个小时受攻击用户就高达10万。
一、概述
12月14日下午,腾讯安全御见威胁情报中心监测发现,一款通过驱动人生升级通道,并同时利用永恒系列高危漏洞传播的木马突然爆发,仅2个小时受攻击用户就高达10万。
该病毒通过驱动人生升级通道及永恒系列高危漏洞入侵用户机器后,会下载执行install.exe木马。 电脑管家无需升级即可拦截该次攻击,电脑管家将会持续跟踪该款病毒并同步相关信息。因该病毒利用高危漏洞在内网呈蠕虫式传播,并进一步下载云控木马,对企业信息安全威胁巨大,建议企业用户重点关注。
该病毒在周末下班时间突然爆发,腾讯安全专家推测该病毒的传播者是相当有经验的黑产从业人员,腾讯安全御见威胁情报中心正在密切关注该病毒的进一步行动。
病毒下载的木马被电脑管家清除
腾讯御点成功拦截通过永恒系列漏洞传播的木马
腾讯御界高级威胁检测系统成功感知该威胁。
二、病毒传播渠道和危害
最新的分析发现,本次病毒爆发约70%的传播是通过驱动人生升级通道进行的,约30%是通过永恒系列漏洞进行自传播,该病毒会继续下载云控木马,具体行为还在紧张分析中。
电脑管家追溯病毒传播链发现,此款病毒12.14日约14点开始,由驱动人生/人生日历等软件中最早开始传播,传播源是该软件中名为dtlupg.exe(疑似升级程序)。
dtlupg.exe访问以下url下载病毒
hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
(注意,为避免网友点击以上链接可以直接下载病毒程序,对部分字符做了隐藏处理)
病毒文件释放在:
C:\Program Files (x86)\DTLSoft\rili\Updater\ctrlf\f79cb9d2893b254cc75dfb7f3e454a69.exe等位置执行。
f79cb9d2893b254cc75dfb7f3e454a69.exe 运行后最终释放出 C:\WINDOWS\Temp\svvhost.exe
(MD5:2E9710A4B9CBA3CD11E977AF87570E3B)运行,svvhost.exe打包了“永恒之蓝”等漏洞攻击工具在内外网进一步扩散。
三、安全建议
1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2.使用腾讯御点(个人用户可使用腾讯电脑管家)的漏洞修复功能,及时修复系统高危漏洞;
3.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
4.使用杀毒软件拦截可能的病毒攻击;
5.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
腾讯安全御见威胁情报中心会持续跟进本次病毒爆发过程,更多信息会通过腾讯电脑管家官方微博、腾讯御见威胁情报中心微信公众号及时对外发布。
12月14日下午,腾讯安全御见威胁情报中心监测发现,一款通过驱动人生升级通道,并同时利用永恒系列高危漏洞传播的木马突然爆发,仅2个小时受攻击用户就高达10万。
该病毒通过驱动人生升级通道及永恒系列高危漏洞入侵用户机器后,会下载执行install.exe木马。 电脑管家无需升级即可拦截该次攻击,电脑管家将会持续跟踪该款病毒并同步相关信息。因该病毒利用高危漏洞在内网呈蠕虫式传播,并进一步下载云控木马,对企业信息安全威胁巨大,建议企业用户重点关注。
该病毒在周末下班时间突然爆发,腾讯安全专家推测该病毒的传播者是相当有经验的黑产从业人员,腾讯安全御见威胁情报中心正在密切关注该病毒的进一步行动。
病毒下载的木马被电脑管家清除
腾讯御点成功拦截通过永恒系列漏洞传播的木马
腾讯御界高级威胁检测系统成功感知该威胁。
二、病毒传播渠道和危害
最新的分析发现,本次病毒爆发约70%的传播是通过驱动人生升级通道进行的,约30%是通过永恒系列漏洞进行自传播,该病毒会继续下载云控木马,具体行为还在紧张分析中。
电脑管家追溯病毒传播链发现,此款病毒12.14日约14点开始,由驱动人生/人生日历等软件中最早开始传播,传播源是该软件中名为dtlupg.exe(疑似升级程序)。
dtlupg.exe访问以下url下载病毒
hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
(注意,为避免网友点击以上链接可以直接下载病毒程序,对部分字符做了隐藏处理)
病毒文件释放在:
C:\Program Files (x86)\DTLSoft\rili\Updater\ctrlf\f79cb9d2893b254cc75dfb7f3e454a69.exe等位置执行。
f79cb9d2893b254cc75dfb7f3e454a69.exe 运行后最终释放出 C:\WINDOWS\Temp\svvhost.exe
(MD5:2E9710A4B9CBA3CD11E977AF87570E3B)运行,svvhost.exe打包了“永恒之蓝”等漏洞攻击工具在内外网进一步扩散。
三、安全建议
1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2.使用腾讯御点(个人用户可使用腾讯电脑管家)的漏洞修复功能,及时修复系统高危漏洞;
3.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
4.使用杀毒软件拦截可能的病毒攻击;
5.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
腾讯安全御见威胁情报中心会持续跟进本次病毒爆发过程,更多信息会通过腾讯电脑管家官方微博、腾讯御见威胁情报中心微信公众号及时对外发布。
在线咨询
方案定制