文章插圖
騰訊安全御見威脅情報中心監(jiān)測發(fā)現(xiàn) ， 一款通過“驅(qū)動人生”升級通道 ， 并同時利用“永恒之藍”高危漏洞傳播的木馬突然爆發(fā) ， 僅2個小時受攻擊用戶就高達10萬 ?！膀?qū)動人生”木馬會利用高危漏洞在企業(yè)內(nèi)網(wǎng)呈蠕蟲式傳播 ， 并進一步下載云控木馬 ， 在中毒電腦進行門羅幣挖礦 。
一、概述12月14日下午 ， 騰訊安全御見威脅情報中心監(jiān)測發(fā)現(xiàn) ， 一款通過“驅(qū)動人生”升級通道 ， 并同時利用“永恒之藍”高危漏洞傳播的木馬突然爆發(fā) ， 僅2個小時受攻擊用戶就高達10萬 。
“驅(qū)動人生”木馬會利用高危漏洞在企業(yè)內(nèi)網(wǎng)呈蠕蟲式傳播 ， 并進一步下載云控木馬 ， 在中毒電腦上進行門羅幣挖礦 。云控木馬對企業(yè)信息安全威脅巨大 ， 企業(yè)用戶須重點關(guān)注 。
該病毒爆發(fā)剛好是周末時間 ， 令企業(yè)網(wǎng)管猝不及防 ， 周一工作日員工電腦開機后 ， 建議立刻查殺病毒 ， 再使用殺毒軟件的漏洞修復(fù)功能安裝系統(tǒng)補丁 。個人電腦用戶使用騰訊電腦管家即可防御 。
本次病毒爆發(fā)有三個特點：
1.驅(qū)動人生升級通道傳播的病毒會在中毒電腦安裝云控木馬；
2.病毒會利用永恒之藍漏洞在局域網(wǎng)內(nèi)主動擴散；
3.通過云端控制收集中毒電腦部分信息 ， 接受云端指令在中毒電腦進行門羅幣挖礦 。
木馬攻擊流程圖
二、詳細分析dtlupg.exe訪問以下url下載病毒
hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
（注意 ， 為避免網(wǎng)友點擊以上鏈接可以直接下載病毒程序 ， 對部分字符做了隱藏處理）
病毒文件釋放在：
C:Program Files (x86)DTLSoftriliUpdaterctrlff79cb9d2893b254cc75dfb7f3e454a69.exe等位置執(zhí)行 。
f79cb9d2893b254cc75dfb7f3e454a69.exe 運行后最終釋放出 C:WINDOWSTempsvvhost.exe
（MD5：2E9710A4B9CBA3CD11E977AF87570E3B）運行 ， svvhost.exe打包了“永恒之藍”等漏洞攻擊工具在內(nèi)外網(wǎng)進一步擴散 。
2.1 病毒母體
F79CB9D2893B254CC75DFB7F3E454A69.exe
運行后將自身拷貝到C:windowssystem32svhost.exe ， 安裝為服務(wù)并啟動 ， 服務(wù)名為Ddiver ， 并在隨后拉起云控模塊svhhost.exe、攻擊模塊svvhost.exe 。
運行時先檢測互斥體 ， 確定是否已感染過 。
通過檢測以下進程將殺軟信息搜集準(zhǔn)備上傳 。
360tray.exe|360sd.exe|avp.exe|KvMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe
檢測到任務(wù)管理器及游戲進程則將云控模塊svhhost.exe退出 。
打開互斥體 ， 對象名稱為”I am tHe xmr reporter”  ， xmr意指xmrig.exe礦機 。
搜集系統(tǒng)敏感信息上傳到hxxp://i.haqo.net/i.png,并接受返回的云控代碼等待執(zhí)行 。
母體設(shè)置進程共享內(nèi)存HSKALWOEDJSLALQEOD
2.2 挖礦
云控木馬svhhost.exe其主要功能是 ， 從母體進程svhost.exe共享內(nèi)存中讀取shellcode解密并執(zhí)行 ， 每隔2000秒讀取一次共享內(nèi)存中的shellcode進行解密執(zhí)行 ， 共享內(nèi)存名為HSKALWOEDJSLALQEOD ， 目前該shellcode主要功能挖礦,不排除后期會拉取其他更加惡意如加密勒索等木馬病毒執(zhí)行
云控木馬執(zhí)行流程
云控木馬運行后會創(chuàng)建一個線程 ， 該線程函數(shù)主要功能是判斷進程svhost.exe(母體進程)是否存在 ， 不存在的話則啟動該進程 ， 接下來要讀取的共享內(nèi)存數(shù)據(jù)就是從該進程進行讀取

以上關(guān)于本文的內(nèi)容，僅作參考！溫馨提示：如遇健康、疾病相關(guān)的問題，請您及時就醫(yī)或請專業(yè)人士給予相關(guān)指導(dǎo)!

「愛刨根生活網(wǎng)」www.malaban59.cn小編還為您精選了以下內(nèi)容，希望對您有所幫助：

• 手機自動搶購秒殺軟件推薦 京東商城搶購技巧
• 新手電腦如何安裝軟件 電腦怎么安裝
• 設(shè)置方法 電腦截圖快捷鍵ctrl加什么
• 遇上情敵別怕 三招讓她自動消失
• 1分鐘教你設(shè)置自動清理垃圾 怎么自動釋放內(nèi)存
• 臺式機電腦硬盤怎么安裝 硬盤怎么裝
• 電腦突然死機 電腦突然死機是什么原因造成的
• 筆記本板載內(nèi)存可以更換嗎 怎么看電腦內(nèi)存條型號
• 手機上可視化編程app 自動化開發(fā)軟件有哪些
• 如何將手機網(wǎng)絡(luò)共享至電腦 怎樣將手機網(wǎng)絡(luò)共享到電腦