首页 > 传媒 > 关键词  > 瑞星最新资讯  > 正文

瑞星预警:“永恒之蓝”挖矿病毒变种来袭 国内各省均有用户感染

2019-03-22 11:24 · 稿源: 站长之家用户

近日,瑞星捕获到利用“永恒之蓝”漏洞传播的挖矿病毒MsraMiner出现最新变种,经瑞星安全专家查验,国内各省已均有用户感染。由于该病毒采用蠕虫的方式进行传播,一旦有用户感染,就会导致网内其他用户遭受牵连,造成机器卡顿和蓝屏等现象,所以未来该病毒存在大范围传播的风险。

利用“永恒之蓝”漏洞传播的挖矿病毒MsraMiner第一次出现是在 2017 年 5 月,该病毒使用NSA泄露的“永恒之蓝”攻击工具传播挖矿病毒。病毒作者直到现在还在持续更新对抗查杀,通过内网传播和外网下载的攻击方式,组建了大量的僵尸网络,极大的增加了查杀难度。

挖矿病毒MsraMiner最新变种仍采用与之前相同的攻击方式,不过进行了一定升级,将挖矿相关字符串进行大量替换,伪装成系统服务名称对抗查杀。同时,病毒作者为了让挖矿病毒持久驻留,当检测到系统任务管理器启动时,挖矿进程会自动退出。任务管理器关闭后,挖矿进程又会重新启动,病毒变得更加隐蔽。服务模块也由固定名称改成随机拼凑的字符串名称,用来躲避杀软查杀。

瑞星安全专家提醒广大用户,虽然病毒的传播能力在不断提升,但是及时更新系统补丁,可以在很大程度上免受黑客的攻击。除此之外,采取以下防御措施,可防止更多类似病毒的侵害:

1、建议优先安装“永恒之蓝”漏洞补丁。

2、若补丁安装失败,可开启防火墙关闭 445 端口。

3、安装杀毒软件保持防御开启,及时升级病毒库。

技术分析

挖矿病毒MsraMine最新变种的病毒母体运行后释放服务模块,释放的服务模块名称随机拼凑。例如:ApplicationTimeHost.dll

图:释放服务模块

从以下字符串中选取拼凑。

图:拼凑服务模块名称用到的字符串

不同机器服务名称不同,都是通过以上字符串拼凑组合而成。服务名称和释放的服务dll文件名称相同。

图:创建的服务

图:服务名称和释放的服务模块dll名称相同

释放“永恒之蓝”攻击工具包到C:\Windows\NetworkDistribution目录,攻击网络中的其它机器。

图:释放“永恒之蓝”攻击工具包

图:调用攻击模块攻击网络中的其它机器

释放挖矿模块dllhostex.exe,挖矿消耗系统资源。挖矿模块使用开源挖矿程序修改而来,此版本将挖矿相关字符串进行了大量的替换,进一步对抗查杀。

图:挖矿模块

病毒作者为了让挖矿病毒持久驻留,当检测到系统任务管理器启动时,挖矿进程会自动退出。任务管理器关闭后,挖矿进程又会重新启动,病毒变得更加隐蔽。

用微软增强的进程查看工具ProcessExplorer可以看到挖矿进程

图:挖矿进程

IOC

C&C

iron.tenchier.com

z.totonm.com

185.128.24.101

MD5

80402E15A81E4F513980857455EB5A9C

6DC722C9844E61427A47A2759A8FBEC0

95786B6C28BF8DBA7BBFEEBA9E1EC27A

386FEADCAD055F4EA712DD39D80BB700

297C855681A872F80AADA938F60EF33A

56DA116D25207847797FE5F8B085C1B1

F5A7B1F998390241F5C10CBDDFE88647

推广

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 32周孕妇吃冰箱凉菜感染险胎死腹中 感染李斯特菌

    ​近日,湖北武汉发生了一起惊险的医疗事件。怀孕 32 周的刘女士突然感到肚子持续疼痛,且胃部不适,情况危急之下她迅速前往医院就医。经过医生详细检查,发现孩子已出现窒息和缺氧的严重症状,必须立即终止妊娠。刘女士随即接受了剖宫产手术,然而孩子出生时状况极差,重度窒息、全身青紫,毫无自主呼吸和心率。幸而医生紧急实施心肺复苏和气管插管,才将孩子�

  • 2幼童相继感染食脑虫 专家:避免野泳 注意防护

    ​近日,国内连续发生两起幼童感染阿米巴原虫症(俗称“食脑虫”)的罕见病例,引发社会广泛关注。福建一名 5 岁女童在游泳、泡温泉后出现头痛、低热、呕吐等症状,经检测确诊感染福氏耐格里阿米巴原虫,目前已陷入昏迷;无独有偶,安徽合肥一名 6 岁男童也被诊断出感染狒狒阿米巴原虫,现正转至上海接受治疗。 据医疗专家介绍,“食脑虫”并非真正意义上的昆虫

  • 女版“留几手”爆火,毒舌点评让年轻人如何人间清醒?

    ​当95后女生@ay. 对着连麦观众抛出“你这穿搭是垃圾桶批发的吗”,弹幕瞬间被“骂得好!再来!”刷屏。 这个被称为“女版留几手”的直播间,正在抖音爆火。她们说话带刺、专戳痛点,用毒舌点评吸引观众主动打赏、品牌方排队合作。

  • 吃冷饮在嘴里含三五秒真的有用 女子吃冰脑壳一紧突发脑结冰

    ​近日,全国多地持续高温,冰镇饮料、冰淇淋等冷饮成为许多人消暑解渴的首选。然而,医生提醒,享受清凉的同时切莫忽视健康,吃“冰”也需讲究科学方法,一味贪凉可能适得其反,给身体带来负担。 据医疗专家介绍,中午时分是人体阳气最为旺盛的阶段,此时适量食用冷饮对身体的刺激相对较小。医生特别指出,空腹状态下应避免直接摄入冷饮,以免刺激肠胃引发不

  • 网友住酒店光脚洗澡感染HPV 医生回应:需注意防护

    ​近日,“酒店光脚洗澡可能感染HPV”这一话题在网络上迅速发酵,引发了公众对公共场所卫生安全问题的广泛关注和热烈讨论。据媒体报道以及医学专家分析,在酒店等公共浴室光脚洗澡,确实存在感染跖疣病毒的风险,而该病毒正是一种低危型HPV病毒。 跖疣,这一由人乳头瘤病毒(HPV)引发的足部良性增生物,其感染多发生在温暖潮湿的环境中。医学专家指出,当足部皮

  • 清远4.3级地震 学生下楼避险 腾讯:53万用户收到地震预警

    ​广东清远地区发生4. 3 级地震,广州、深圳、中山、佛山、东莞、珠海等多地居民报告有明显震感。腾讯官方公众号发布消息称,地震波抵达前约 10 秒,超过 53 万微信和QQ用户通过“中国地震预警”功能收到预警信息,为公众争取了紧急避险时间。 目前,微信和QQ均已实现全国范围内的地震预警功能覆盖。用户开启该功能后,系统将根据地震影响程度推送不同级别的预警:�

  • 三星Galaxy新品来袭:以开创性工艺与技术打造超能移动体验

    三星于7月9日发布新一代折叠屏手机Galaxy Z Fold7和Z Flip7,以及智能手表新品。Z Fold7主打超轻薄设计,折叠厚度仅8.9毫米,重量215克,配备8英寸主屏和2亿像素广角镜头,搭载骁龙8 Gen3芯片及Galaxy AI功能。Z Flip7升级4.1英寸外屏,支持120Hz刷新率,结合立式自由拍摄系统提升影像体验。同步推出的Z Flip7 FE以性价比为卖点,配备6.7英寸主屏。Galaxy Watch8系列新增血管负荷监测和抗氧化指数功能,Ultra版专为户外运动设计。新品即日起开启预售,Fold7起售价13999元,Flip7起售价7999元,预购可享存储升级等优惠。

  • 老人给3岁孙子抹自制药膏致感染 医生:切勿盲目使用偏方

    ​近日,江苏常州发生一起因错误处理儿童烫伤引发的医疗事件。一名3岁男童不慎被热水烫伤后,其奶奶立即用凉水为其冲洗降温,随后却使用了邻居提供的自制烫伤膏涂抹伤口。据家属描述,用药初期孩子哭闹症状有所缓解,但次日凌晨突发高热,伤口出现红肿溃烂迹象,家人随即将其送医治疗。 经医生检查发现,患儿创面存在严重细菌感染,已发展为继发性伤口感染。�

  • 酒店光脚洗澡可能感染HPV?医生回应:需注意防护

    近日,“酒店光脚洗澡可能感染HPV”的话题引发广泛关注和热议。据媒体报道及医学专家指出,在酒店等公共场所光脚洗澡,确实存在感染跖疣病毒(一种低危型HPV病毒)的可能性,引发公众对公共场所卫生安全的担忧。 ​跖疣是由人乳头瘤病毒(HPV)引起的足部良性增生物,属于低危型HPV感染。在温暖潮湿的环境中,如酒店浴室,如果足部皮肤有微小破损或伤口,且与病毒

  • 泰国38岁男子大巴上暴毙:感染了恐怖噬肉菌

    近日泰国一名38岁男子在旅途中被发现在大巴车上暴毙。 报道称,车辆到站后,迟迟不见他离开座位,工作人员查看后才发现他已经死亡,医师最初推断死因可能与慢性疾病有关。 然而,尸体经法医解剖后,确定死因是坏死性筋膜炎,即俗称的噬肉菌感染”。 坏死性筋膜炎是一种严重细菌感染,细菌通过伤口进入人体后,快速繁殖并释放毒素,破坏皮下脂肪、肌肉和筋膜组