驱动人生升级通道传播木马,2小时感染十万台电脑

2018-12-15 01:33:25
12月14日下午,腾讯安全御见威胁情报中心监测发现,一款通过驱动人生升级通道,并同时利用永恒系列高危漏洞传播的木马突然爆发,仅2个小时受攻击用户就高达10万。
一、概述
12月14日下午,腾讯安全御见威胁情报中心监测发现,一款通过驱动人生升级通道,并同时利用永恒系列高危漏洞传播的木马突然爆发,仅2个小时受攻击用户就高达10万。

该病毒通过驱动人生升级通道及永恒系列高危漏洞入侵用户机器后,会下载执行install.exe木马。 电脑管家无需升级即可拦截该次攻击,电脑管家将会持续跟踪该款病毒并同步相关信息。因该病毒利用高危漏洞在内网呈蠕虫式传播,并进一步下载云控木马,对企业信息安全威胁巨大,建议企业用户重点关注。

该病毒在周末下班时间突然爆发,腾讯安全专家推测该病毒的传播者是相当有经验的黑产从业人员,腾讯安全御见威胁情报中心正在密切关注该病毒的进一步行动。

病毒下载的木马被电脑管家清除

腾讯御点成功拦截通过永恒系列漏洞传播的木马

腾讯御界高级威胁检测系统成功感知该威胁。

二、病毒传播渠道和危害
最新的分析发现,本次病毒爆发约70%的传播是通过驱动人生升级通道进行的,约30%是通过永恒系列漏洞进行自传播,该病毒会继续下载云控木马,具体行为还在紧张分析中。
电脑管家追溯病毒传播链发现,此款病毒12.14日约14点开始,由驱动人生/人生日历等软件中最早开始传播,传播源是该软件中名为dtlupg.exe(疑似升级程序)。
 
dtlupg.exe访问以下url下载病毒
hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
(注意,为避免网友点击以上链接可以直接下载病毒程序,对部分字符做了隐藏处理)

病毒文件释放在:
C:\Program Files (x86)\DTLSoft\rili\Updater\ctrlf\f79cb9d2893b254cc75dfb7f3e454a69.exe等位置执行。
 
f79cb9d2893b254cc75dfb7f3e454a69.exe  运行后最终释放出 C:\WINDOWS\Temp\svvhost.exe
(MD5:2E9710A4B9CBA3CD11E977AF87570E3B)运行,svvhost.exe打包了“永恒之蓝”等漏洞攻击工具在内外网进一步扩散。

三、安全建议
1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2.使用腾讯御点(个人用户可使用腾讯电脑管家)的漏洞修复功能,及时修复系统高危漏洞;
3.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
4.使用杀毒软件拦截可能的病毒攻击;
5.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

腾讯安全御见威胁情报中心会持续跟进本次病毒爆发过程,更多信息会通过腾讯电脑管家官方微博、腾讯御见威胁情报中心微信公众号及时对外发布。

最新资讯