<optgroup id="rwngj"></optgroup>
    1. 返回頂部
      隱藏或顯示

      新聞動態

      News

      已感染數萬設備!警惕ZombieBoy挖礦木馬傳播

      / 2019-07-15

      近日,深信服安全團隊監測到一款名為ZombieBoy的木馬悄然感染了國內外多個行業的用戶主機。該木馬包含內網掃描、“永恒之藍”漏洞利用、“雙脈沖星”后門、挖礦工具等多個惡意模塊,是一款集傳播、遠控、挖礦功能為一體的混合型木馬。其結構類似于“MassMine”,由于釋放第一個惡意DLL文件時使用了一個名為ZombieBoy的工具,因此被命名為ZombieBoy挖礦木馬。

      病毒名稱:ZombieBoy

      病毒性質:挖礦木馬

      影響范圍:目前已感染數萬臺設備,涉及多行業

      危害等級:高危

      傳播方式:內網掃描、永恒之藍漏洞利用

      病毒描述

      ZombieBoy木馬最早出現于2017年底,2018年下旬,安全媒體報道被該木馬控制的主機多達七萬臺。日前,經深信服安全云腦數據監測發現,該木馬在各個行業中迅速擴散。其中,安全防護較為薄弱的企業成為感染的重災區,教育行業、政企單位等均受到不同程度的感染:

      從深信服的云腦監測數據來看,該木馬感染區域沒有明確的目標,全國各省以及國外用戶均存在感染現象,其中感染量TOP5區域分別為廣東省、浙江省、北京市、上海市、江西省。

      感染現象

      受感染的主機上出現了未知IP策略的明顯現象,該策略會將除了22.148.18.88之外連接445的IP全部阻止。

      可疑IP地址查詢為一個美國IP。

      搜索最新創建的TXT文件,能發現大量IP.TXT文件,是該木馬內網傳播模塊的日志文件:

      出現執行木馬目錄下惡意文件的計劃任務:

      windows目錄下創建一個5位隨機字母的文件夾,并存在boy.exe木馬文件:

      存在惡意挖礦進程:

      WinEggDrop開源掃描器進程:

      永恒之藍漏洞利用工具進程Cstrl.exe:

      雙星脈沖后門植入工具進程chrome.exe:

      解決方案

      1.更新MS17-010漏洞補丁。

      2.關閉業務上不需要的端口,如135、137、138、139、445等。

      3.使用安全產品查殺木馬文件及進程,深信服EDR產品、下一代防火墻及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測。

      4.使用深信服安全產品,接入安全云腦,使用云查服務可以即時檢測防御新威脅。

      5. 深信服為廣大個人用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

      64位系統下載鏈接:

      http://edr.www.d6562.com/tool/SfabAntiBot_X64.7z

      32位系統下載鏈接:

      http://edr.www.d6562.com/tool/SfabAntiBot_X86.7z

      咨詢與服務

      您可以通過以下方式聯系我們,獲取關于ZombieBoy挖礦木馬的免費咨詢及支持服務:

      1)撥打電話400-630-6430轉6號線

      2)關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢

      3)PC端訪問深信服區 bbs.www.d6562.com,選擇右側智能客服,進行咨詢

      ©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214號-5

      粵公網安備

      粵公網安備44030502002384號

      92看看电影网免费伦理电影大全