主机网络流量命中木马远控(“驱动人生”木马)
发布人:系统管理员  发布时间:2019-03-18   浏览次数:618

原理

近期,网络中心发现校内多台终端设备如:211.65.17.238211.65.15.23等,感染”驱动人生”旗下多款软件携带后门病毒。这些病毒同时利用“永恒之蓝”高危漏洞在校园内网呈蠕虫式传播,还会进一步下载云控木马,通过云端控制收集中毒电脑信息,在中毒电脑上进行门罗币挖矿。病毒运行之后,病毒会将自身释放到System32(或SysWOW64)目录下,将病毒可执行文件注册为系统服务继续执行恶意代码,注册服务名为Ddriver,并会运行云控模块svhhost.exe、攻击模块svvhost.exe。云控木马主要功能是从母体进程svhost.exe共享内存中读取shellcode解密并执行,目前该shellcode主要功能挖矿。攻击模块主要是扫描内网445端口进行攻击,攻击成功后paylaod在中招机器中进行内网扩散传播。网络中心对发现中了木马的终端设备进行了预警,请接到预警的老师配合网络中心做好自己终端设备的安全维护。

危害描述

一旦终端设备感染了病毒,并试图主动向外连接C&C服务器,且主机已成功与C&C服务器建立了C&C控制通道;C&C服务器已向主机下发了控制命令,该病毒随时可以把主机相关敏感数据上报到C&C服务器;该终端用户处于高危风险之中,建议立即处理;

1、病毒会在受感染主机上进行门罗币挖矿,过度耗费计算机CPUGPU资源,影响系统性能。

2、病毒感染主机后,可以在主机中进行窃取用户的敏感信息,发送到病毒的C&C服务器中。

安全建议

封堵C&C服务器IP地址,禁止肉鸡与C&C服务器进行通信;

1、修补漏洞:打上“永恒之蓝”漏洞补丁。

2、确认该主机是否为DNS服务器或域控服务器(通常用于DNS代理),如果是请将该主机IP添加到失陷主机白名单即可;

3、推荐使用深信服EDR工具进行病毒查杀:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

4、如以上推荐工具查杀不出来,可使用第三方杀毒工具(如火绒等)进行查杀;

加固建议:1、下载安装补丁:https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010

日常维护:

1、不随意打开来历不明的邮件及附件;

2、及时更新系统补丁,可以使用windows自动更新或采用腾讯管家等进行更新;

3、对重要数据进行定期非本地备份;

4、安装专业安全防护软件或部署安全设备;

5、尽量关闭不必要的应用端口(如135139445);

6、系统设置较为复杂的密码;