最新病毒库日期:
  • 病毒预警:“驱动人生”木马利用永恒之蓝大规模传播
2018-12-15 16:21 来源:未知
【文章摘要】12月14日下午14点左右开始,江民病毒监测中心发现网上出现利用驱动人生升级通道传播的木马,并及时拦截。
12月14日下午14点左右开始,江民病毒监测中心发现,互联网上出现了一款利用“驱动人生”升级通道,并同时利用永恒系列高危漏洞传播的木马病毒突发事件,仅数个小时受攻击用户就接近10万。普通用户无需担心,江民杀毒软件第一时间已拦截该病毒,旗下赤豹实验室对病毒进行了详细分析并对外发布。
江民赤豹安全实验室研究人员介绍,该木马程序利用“驱动人生”“人生日历”等软件传播,具备远程执行代码功能,启动后会将用户计算机的详细信息发往木马服务器控制端,并接收远程指令执行下一步操作。此外,该木马还携带有“永恒之蓝”漏洞攻击组件,可利用该漏洞攻击局域网与互联网其他机器,进行传播扩散,并回传被感染电脑的IP地址、CPU型号等信息。
 
目前病毒并未携带攻击模块,只是藏于电脑中等待其他模块的下载感染,利用“永恒之蓝”漏洞传播。该病毒主要通过“驱动人生”、”人生日历”、”USB宝盒”等软件传播病毒,病毒会同时执行两个任务:
1、通过高危漏洞“永恒之蓝”快速传播,可使用户无感下大面积传播病毒。由于很多用户系统更新不及时,存在未修复的漏洞,因此受威胁也最大。
2、下载svhhost.exe模块并且具有加载其他模块的功能,回传被感染电脑的IP地址、CPU型号、杀软等信息。
 

针对此次木马的攻击,赤豹实验室专家提醒广大用户可及时采取以下措施进行防范:

1、“驱动人生”老版本用户应手动更新升级版本;
2、安装并及时更新江民杀毒软件,做好相关重要数据备份工作;
3、  及时打补丁修复永恒之蓝的漏洞,关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口;
4、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
5、  关闭并删除服务Ddrive
6、  删除C:\Windows\System32\路径下的svhost.exe、svvhost.exe、svhhost.exe
7、  关闭进程svhost.exe、svvhost.exe、svhhost.exe