2018年12月14日,国内Windows平台下免费驱动管理软件“驱动人生”经过软件自动晋级的方法向用户推送了后门病毒DTSealer,该程序运用“永久之蓝”高危缝隙进行局域网内的大范围传达,一起回传被感染用户电脑CPU以及IP地址等详细信息到进犯服务器,之后下载歹意代码进行履行。此次感染面积巨大,半响时间内已有数万用户电脑受到感染。此次木马传达事情的产生,是因为该软件的某些老版别晋级组件代码缝隙被歹意进犯所形成。
“驱动人生”晋级推送程序会经过网址链接将歹意程序下载到本地进行履行,然后开释本身到System32体系目录下并生成32位母体程序svhost.exe,一起将本身注册为体系服务履行后续的相关使命。在svhost.exe(32位)履行进程中会上传用户电脑装备信息,而且下载歹意程序eb.exez。在履行完成后开释出64位变体程序svhhost.exe,其将作为署理程序开释出svvhost.exe进犯模块,该进犯模块会履行扫描局域网操作,然后运用windows下高危缝隙“永久之蓝”传达32位母体svhost.exe,扩展感染面积。详细流程如下图所示:
4) 将获取到的用户电脑信息作为恳求参数取得shellcode指令履行。从恳求URL能够看出之前获取到用户称号以及CPU,UUID等相关信息。
快速枚举局域网中主机的445端口,运用永久之蓝缝隙进行进犯,运转界面会回显出当时局域网主机版别以及是否打过补丁。进犯成功后下载svhost副本,添加受感染主机数量。
迪普科技安全研究院提示广阔用户:关于现已感染主机,主张赶快对感染主机进行断网阻隔,能够经过检查体系目录
1、现在DPtech IPS2000、FW1000可对“驱动人生”所传达病毒能够进行有用防护,对应特征库版别号如下:
2、运用DPtech慧眼安全检测产品财物盘点功用,快速辨认呈现网敞开高危端口的财物;运用安全缝隙检测功用辨认出易被病毒感染的高危危险财物,并依据相应的修正主张进行安全加固。
3、在接入层布置DPtech LSW3600-SE系列自安全交换机,可使网络接入自动辨认木马、蠕虫等病毒传达行为并实时处置,天然避免病毒传达;可视化定位病毒传达源,协助管理员快速处理内网要挟。
迪普科技正在全力盯梢相关缝隙的最新进展,请发动设备自动更新特征库功用,有疑问的客户也可联络迪普科技当地办事处售后人员或拨打客户服务热线电话:,进一步了解相关状况。