加入收藏 | 设为首页 |

军棋-瑞星:“DTLMiner”再次更新 成为首个使用BlueKeep缝隙的病毒

海外新闻 时间: 浏览:154 次

  近来,瑞星安全研究院再次捕获到闻名挖矿木马病毒“DTLMiner”的最新变种,这已经是该军棋-瑞星:“DTLMiner”再次更新 成为首个使用BlueKeep缝隙的病毒病毒自2018年年末至今的第20次更新。需求警觉的是,此次更新的变种不只加大了对受害者电脑功能的压榨,一起成为首个利用了BlueKeep缝隙(CVE-2019-0708)进行进犯的挖矿病毒。

  据介绍,BlueKeep缝隙(CVE-2019-0708)是本年最新曝出的极具要挟性的缝隙,它答应歹意软件在没有用户交互的情况下自我仿制,进犯者可助远程桌面协议(RDS)连接到方针电脑,然后对受害者的体系加以操控。值得留意的是,BlueKeep进犯可像蠕虫病毒相同被仿制和传达,然后引发相似WannaCry病毒那样的大规军棋-瑞星:“DTLMiner”再次更新 成为首个使用BlueKeep缝隙的病毒模勒索进犯。而现在BlueKeep缝隙已影响Windows XP、Windows Vista、Windows 7、Windows Server 2003和Windows 军棋-瑞星:“DTLMiner”再次更新 成为首个使用BlueKeep缝隙的病毒Server 2008等操作体系中的远程桌面协议(RDP)服务

  瑞星在此次最新版别的“DTLMiner”中发现,病毒作者在上一个版别的基础华润置地上对运用AMD Radeon显卡而且操作体系是64位的电脑进行了更进一步的功能压榨,将原有的AMD显卡专用的挖矿模块替换为了带有显卡加快组件的挖矿模块,这样做的含义在于提升了显卡的挖矿功率,然后为病毒作者牟取更大的利益。

  瑞星安全专家提示,因为最新版别的“DTLMiner”挖矿病毒利用了“杀伤力极大”的BlueKeep RCE缝隙,因而广阔用户尤其是还在运用Windows XP、Windows Vista、Windows 7、Windows Server 2003和Windows Server 2008等操作体系的用户,应进步警觉并加以防备。现在,瑞星旗下一切产品均已具有对该病毒的防护和查杀才能,广阔用户可晋级至最新版别进行运用。

  一起,因为“DTLMiner”挖矿病毒会对企业用户带来极大的潜在要挟,所以应留意以下几点:

  1。装置永久之蓝缝隙补丁、“震网三代”(CVE-2017-8464)缝隙补丁以及BlueKeep(CVE-2019-0708)缝隙补丁,避免病毒通过缝隙植入;

  2。体系和数据库不要运用弱口令账号暗码;

  3。多台机器不要运用相同暗码,病毒军棋-瑞星:“DTLMiner”再次更新 成为首个使用BlueKeep缝隙的病毒会抓取本机暗军棋-瑞星:“DTLMiner”再次更新 成为首个使用BlueKeep缝隙的病毒码,进犯局域网中的其它机器;

  4。装置杀毒软件,坚持防护敞开。

  技能剖析

  新版别对运用AMD Radeon显卡而且操作体系是64位的机器运用了独立的脚原本进行挖矿模块的下载和履行。

  在这个独立的脚本中,病毒先创立互斥体,然后在指定目录不存在OpenCL模块的情况下从服务器上下载该模块并解压,紧接着下载挖矿模块,验证MD5后将其加载进内存。

  横向传达模块在本版别的改变较大,首先是修改了脚本单次最长运转时刻,改为了3小时。

  然后是屏蔽了原有的RDP爆炸模块,引进了新的模块。

  通过代码比对,咱们能够承认,新引进的模块即为BlueKeep缝隙(CVE-2019-0708)的检测模块。

  检测模块在Github上仅有Ruby(适用于MetaSploit)和Python言语的版别,咱们估测作者应该是将Python言语的版别改写为了PowerShell言语的版别。而相关的大数处理模块,Github上有很多的C#言语的完成代码,作者可将代码原样复制至PowerShell脚本中,再调用add-type将其引进PowerShell中供脚本运用。

  在检测到机器存在BlueKeep缝隙后,脚本将相关检测成果上报给了服务器,现在没有发现有进一步的操作。

(文章来历:消费日报网)

(责任编辑:DF120)