• 首页 > 新闻频道 > 即时新闻

    澳门十大赌博网站

    2019年03月29日 10:13:13   来源:中文科技资讯

      近日,瑞星安全专家率先监测到挖矿木马病毒“DTLMiner”最新变种,新版本病毒更换了IP和域名,并且增加了一个挖矿模块,新版挖矿模块会下载显卡驱动,利用显卡进行挖矿,大幅提升挖矿速度的同时会导致系统卡顿,显卡发热。目前,瑞星云安全系统显示,已有数千用户感染该挖矿病毒。FTZ中文科技资讯

      下载后文件名MD5功能FTZ中文科技资讯

      %appdata%\Microsoft\cred.ps1E05827E44D487D1782A32386123193EFPowershell攻击模块FTZ中文科技资讯

      %temp%\mn.exe66EA09330BEE7239FCB11A911F8E8EA3挖矿模块FTZ中文科技资讯

      %temp%\4-8个字符的随机名称CDF6384E4CD8C20E7B22C2E8E221F8C8python编写的攻击模块FTZ中文科技资讯

      %temp%\ddd.exe8A2042827A7FCD901510E9A21C9565A8新增挖矿模块FTZ中文科技资讯

      表:病毒下载的各模块FTZ中文科技资讯

      新版挖矿木马病毒“DTLMiner”不仅会导致中毒机器CPU占用率过高,机器卡顿,同时还会导致显卡占用率过高,显卡发热等现象,严重影响用户正常工作。目前瑞星ESM已能成功查杀该病毒的最新版本。FTZ中文科技资讯

    FTZ中文科技资讯

      图:瑞星ESM查杀截图FTZ中文科技资讯

      “DTLMiner”挖矿木马的黑历史:FTZ中文科技资讯

      2018年12月,“驱动人生”的升级模块被不法分子利用传播挖矿木马病毒“DTLMiner”,短期内感染数万台计算机。FTZ中文科技资讯

      2019年2月、3月又分别进行了更新,增加了数字签名与弱口令攻击,攻击面进一步增大,同时又躲避查杀。FTZ中文科技资讯

      此次瑞星截获的“DTLMiner”已经是第5次变种。FTZ中文科技资讯

      针对该木马病毒对企业网络安全带来的潜在威胁,瑞星安全专家建议:FTZ中文科技资讯

      1、安装永恒之蓝漏洞补丁,防止病毒通过漏洞植入;FTZ中文科技资讯

      2、系统和数据库不要使用弱口令账号密码;FTZ中文科技资讯

      3、多台机器不要使用相同密码,病毒会抓取本机密码,攻击局域网中的其它机器;FTZ中文科技资讯

      4、安装杀毒软件,保持防护开启。FTZ中文科技资讯

      技术分析FTZ中文科技资讯

      新版挖矿木马病毒“DTLMiner”通过漏洞和弱口令攻击植入,创建快捷方式开机自启动。FTZ中文科技资讯

    FTZ中文科技资讯

      图:病毒创建的快捷方式FTZ中文科技资讯

      快捷方式运行之后,执行flashplayer.tmp。此文件是一个脚本,使用JS 调用PowerShell脚本下载。FTZ中文科技资讯

    FTZ中文科技资讯

      图:flashplayer.tmp 内容FTZ中文科技资讯

      下载的文件就是下载模块,此模块会下载攻击模块和挖矿模块。下载模块使用多层混淆。FTZ中文科技资讯

    FTZ中文科技资讯

      图:多层混淆的下载模块FTZ中文科技资讯

      最终解密出下载脚本,脚本运行后首先获取本机网卡mac地址,获取本机安装的杀毒软件信息。FTZ中文科技资讯

    FTZ中文科技资讯

      图:获取本机网卡和杀软信息FTZ中文科技资讯

      之后随机延时一段时间。FTZ中文科技资讯

    FTZ中文科技资讯

      图:延时一段时间FTZ中文科技资讯

      判断配置文件是否存在,如果不存在则下载对应样本。FTZ中文科技资讯

    FTZ中文科技资讯

      图:根据配置文件下载对应样本FTZ中文科技资讯

      1)如果配置文件k1.log不存在,则创建计划任务持久驻留。FTZ中文科技资讯

      根据用户权限不同,创建的计划任务不同,如果当前用户是管理员权限则访问:http://v.y6h.net/g?h + 当前日期,如果当前用户非管理员权限则访问:http://v.y6h.net/g?l + 当前日期。FTZ中文科技资讯

    FTZ中文科技资讯

      图:下载更新脚本FTZ中文科技资讯

      计划任务的功能是访问此网址,使用PowerShell执行获取到的内容。目前此网址处于无法访问状态,攻击者随时可以开启,下发任意脚本。FTZ中文科技资讯

      2)如果配置文件kkkk2.log不存在,则下载new.dat保存为cred.ps1,内容是混淆的PowerShell脚本。FTZ中文科技资讯

    FTZ中文科技资讯

      图:下载cred.ps1FTZ中文科技资讯

      判断文件大小是否正确,如果正确则创建计划任务定时执行cred.ps1。FTZ中文科技资讯

    FTZ中文科技资讯

      图:执行cred.ps1FTZ中文科技资讯

      cred.ps1 脚本被多层混淆。FTZ中文科技资讯

    FTZ中文科技资讯

      图:多层混淆的cred.ps1 脚本FTZ中文科技资讯

      解密后可以看到,此版本是V5。FTZ中文科技资讯

    FTZ中文科技资讯

      图:病毒版本FTZ中文科技资讯

      此模块主要还是为了攻击。FTZ中文科技资讯

    FTZ中文科技资讯

      图:cred.ps1 脚本主要功能FTZ中文科技资讯

      调用永恒之蓝漏洞攻击。FTZ中文科技资讯

    FTZ中文科技资讯

      图:永恒之蓝漏洞攻击FTZ中文科技资讯

      eb7函数针对win7和win2008。FTZ中文科技资讯

    FTZ中文科技资讯

      图:eb7函数FTZ中文科技资讯

      eb8函数针对win8和win2012。FTZ中文科技资讯

    FTZ中文科技资讯

      图:eb8函数FTZ中文科技资讯

      SMB弱口令攻击。FTZ中文科技资讯

    FTZ中文科技资讯

      图:SMB弱口令FTZ中文科技资讯

      完整的密码列表如下,如果使用以下密码,建议尽快修改。FTZ中文科技资讯

      123456","password","PASSWORD","123.com","admin@123","Aa123456","qwer12345","Huawei@123","123@abc","golden","123!@#qwe","1qaz@WSX","Ab123","1qaz!QAZ","Admin123","Administrator","Abc123","Admin@123","999999","Passw0rd","123qwe!@#","football","welcome","1","12","21","123","321","1234","12345","123123","123321","111111","654321","666666","121212","000000","222222","888888","1111","555555","1234567","12345678","123456789","987654321","admin","abc123","abcd1234","abcd@1234","abc@123","p@ssword","P@ssword","p@ssw0rd","P@ssw0rd","P@SSWORD","P@SSW0RD","P@$$w0rd","P@$$word","iloveyou","monkey","login","passw0rd","master","hello","qazwsx","password1","qwerty","baseball","qwertyuiop","superman","1qaz2wsx","fuckyou","123qwe","zxcvbn","pass","aaaaaa","love","administrator"FTZ中文科技资讯

      图:cred.ps1攻击模块内置的弱口令列表FTZ中文科技资讯

      攻击成功后,调用CopyRun函数,将 FlashPlayer.lnk和flashplayer.tmp植入被攻击机器,被攻击机器又会开始新的一轮循环,下载病毒攻击其它机器。FTZ中文科技资讯

    FTZ中文科技资讯

      图:植入病毒FTZ中文科技资讯

      3)如果配置文件333.log不存在,则下载mn.dat,命名为mn.exe,此模块就是之前的挖矿模块。FTZ中文科技资讯

    FTZ中文科技资讯

      图:下载mn.exeFTZ中文科技资讯

      4)如果配置文件kk4.log不存在,则下载ii.da,并使用4-8位随机字母命名,例如 hjqgbs.exe,此模块就是之前的攻击模块,使用Python开发,使用pyinstaller打包。FTZ中文科技资讯

    FTZ中文科技资讯

      图:下载ii.dat 并随机命名FTZ中文科技资讯

      判断下载的文件大小是否正确,如果正确则创建计划任务运行此exe,根据不同的权限使用不同的方法运行,如果是管理员权限,直接创建计划任务运行此exe。FTZ中文科技资讯

    FTZ中文科技资讯

      图:运行下载的exeFTZ中文科技资讯

      如果非管理员权限,则释放run.vbs脚本,将run.vbs脚本设置为计划任务,通过脚本运行此exe。FTZ中文科技资讯

    FTZ中文科技资讯

      图:调用vbs脚本运行下载的exeFTZ中文科技资讯

      释放的run.vbs脚本。FTZ中文科技资讯

    FTZ中文科技资讯

      图:vbs脚本内容FTZ中文科技资讯

      此exe仍然使用窃取的数字签名。FTZ中文科技资讯

    FTZ中文科技资讯

      图:窃取的数字签名FTZ中文科技资讯

      解包后可以看到Python脚本。FTZ中文科技资讯

    FTZ中文科技资讯

      图:Python脚本FTZ中文科技资讯

      脚本使用了base64编码。FTZ中文科技资讯

    FTZ中文科技资讯

      图:base64编码的脚本FTZ中文科技资讯

      解码后得到病毒的Python代码,代码中的关键字符串也进行了混淆。FTZ中文科技资讯

    FTZ中文科技资讯

      图:混淆的代码FTZ中文科技资讯

    FTZ中文科技资讯

      图:混淆的代码FTZ中文科技资讯

      去混淆后,可以看到最终的病毒代码,病毒最开始会通过内存映射,检测当前版本。首先打开内存映射读取内容,如果没有获取到映射的内存,则创建内存映射将自身的路径+“**”+当前版本号+“$$”写入到新创建的内存映射中。FTZ中文科技资讯

    FTZ中文科技资讯

      图:内存映射FTZ中文科技资讯

      如果获取到内存映射,则解析映射中的版本号和内存映射中的文件路径,计算MD5。如果当前程序的MD5和内存映射中路径对应的文件MD5相同,则不执行操作。FTZ中文科技资讯

    FTZ中文科技资讯

      图:计算MD5FTZ中文科技资讯

      否则判断当前版本是否大于内存映射中的版本,如果大于结束之前版本的进程,当前程序复制过去。FTZ中文科技资讯

    FTZ中文科技资讯

      图:判断版本FTZ中文科技资讯

      之后就是攻击传播的部分,病毒内置的攻击IP段、弱口令账号密码列表。FTZ中文科技资讯

    FTZ中文科技资讯

      图:弱口令列表FTZ中文科技资讯

      弱口令密码又进行了扩充,完整的密码如下,如果当前计算机或者数据库软件使用了此列表中的密码,建议尽快修改密码。FTZ中文科技资讯

      '123456','password','qwerty','12345678','123456789','123','1234','123123','12345','12345678','123123123','1234567890','88888888','111111111','000000','111111','112233','123321','654321','666666','888888','a123456','123456a','5201314','1qaz2wsx','1q2w3e4r','qwe123','123qwe','a123456789','123456789a','baseball','dragon','football','iloveyou','password','sunshine','princess','welcome','abc123','monkey','!@#$%^&*','charlie','aa123456','Aa123456','admin','homelesspa','password1','1q2w3e4r5t','qwertyuiop','1qaz2wsx','sa','sasa','sa123','sql2005','1','admin@123','sa2008','1111','passw0rd','abc','abc123','abcdefg','sapassword','Aa12345678','ABCabc123','sqlpassword','1qaz2wsx','1qaz!QAZ','sql2008','ksa8hd4,m@~#$%^&*()','4yqbm4,m`~!@~#$%^&*(),.; ','4yqbm4,m`~!@~#$%^&*(),.;','A123456','database','saadmin','sql2000','admin123','p@ssword','sql123','sasasa','adminsa','sql2010','sa12345','sa123456','saadmin','sqlpass'FTZ中文科技资讯

      图:Python攻击模块内置的密码列表FTZ中文科技资讯

      病毒仍然会抓取密码,因此局域网中多台机器使用相同密码,一台机器中毒,也会导致其它机器被攻击。FTZ中文科技资讯

    FTZ中文科技资讯

      图:抓取密码FTZ中文科技资讯

      永恒之蓝漏洞攻击。FTZ中文科技资讯

    FTZ中文科技资讯

      图:永恒之蓝漏洞FTZ中文科技资讯

      开启共享,将病毒发送过去。FTZ中文科技资讯

    FTZ中文科技资讯

      图:发送病毒FTZ中文科技资讯

      SMB弱口令攻击。FTZ中文科技资讯

    FTZ中文科技资讯

      图:SMB弱口令攻击FTZ中文科技资讯

      MS SQL数据库弱口令攻击。FTZ中文科技资讯

    FTZ中文科技资讯

      图:MS SQL弱口令攻击FTZ中文科技资讯

      5)如果配置文件kk5.log不存在,则下载ddd.dat,命名为ddd.exe,此模块为新版挖矿模块,会下载显卡挖矿相关的驱动。FTZ中文科技资讯

    FTZ中文科技资讯

      图:下载挖矿模块ddd.exeFTZ中文科技资讯

      挖矿模块运行后界面。FTZ中文科技资讯

    FTZ中文科技资讯

      图:挖矿模块界面FTZ中文科技资讯

      挖矿模块除了使用CPU挖矿之外,还会下载显卡挖矿相关的驱动,使用显卡进行挖矿。FTZ中文科技资讯

    FTZ中文科技资讯

      图:下载的显卡驱动FTZ中文科技资讯

      6)最后访问控制服务器,将本机状态信息信息上传到控制服务器,便于感染状态。FTZ中文科技资讯

      的信息包括本地网卡mac地址、安装的杀毒软件、系统版本、感染标志、当前用户组、当前用户名等。FTZ中文科技资讯

    FTZ中文科技资讯

    FTZ中文科技资讯

      图:信息FTZ中文科技资讯

      IOCFTZ中文科技资讯

      md5:FTZ中文科技资讯

      17891737D9970812FE875D0B955B0E15FTZ中文科技资讯

      7441A59ABB6B4C96D0EAC70D884E8008FTZ中文科技资讯

      8A2042827A7FCD901510E9A21C9565A8FTZ中文科技资讯

      CDF6384E4CD8C20E7B22C2E8E221F8C8FTZ中文科技资讯

      E05827E44D487D1782A32386123193EFFTZ中文科技资讯

      3E96A29E82513C5859D5E508A75FA974FTZ中文科技资讯

      66EA09330BEE7239FCB11A911F8E8EA3FTZ中文科技资讯

      Domain:FTZ中文科技资讯

      mm.abbny.comFTZ中文科技资讯

      mm.beahh.comFTZ中文科技资讯

      lplp.beahh.comFTZ中文科技资讯

      lplp.abbny.comFTZ中文科技资讯

      lpp.beahh.comFTZ中文科技资讯

      lpp.abbny.comFTZ中文科技资讯

      ip:FTZ中文科技资讯

      128.199.64.236FTZ中文科技资讯

      27.102.107.137FTZ中文科技资讯

      27.102.118.147FTZ中文科技资讯

      来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

      如发现本站文章存在问题,提供版权疑问、身份证明、版权证明、联系方式等发邮件至news@module-developer.com。

    [上传用户: X011 ]
    分享到微信

    推荐

    PayPal第二季度净利润8.23亿美元 同比增长56%

    据外媒报道,PayPal(纳斯达克证券代码:PYPL)周三发布了该公司截至6月30日的2019财年第二季度财报。财报显示,按美国通用会计准则(GAAP),PayPal第二季度净营收为43.05亿美元,较去年同期的38.57亿美元增长12%;净利润为8.23亿美元,较去年同期的5.26亿美元增长56%。

    新闻

    中国AI芯片大幅增长:离不开5G普及

    众多周知,今年是中国的5G元年,目前,中国5G商用牌照已经发放,这就意味着5G商用已经启动,将会在国内开始迅速普及。伴随5G商用幅射面的不断扩大,人工智能、云计算、大数据、物联网等新兴产业发展迅猛,中国AI芯片市场将进一步扩大。

    互联网+

    特斯拉已开始交付3.5万美元版Model 3 首批幸运者确认

    4月16日消息,据国外媒体报道,电动汽车厂商特斯拉在2016年3月底澳门博彩在线娱乐了廉价电动汽车Model 3,并在2017年开始向用户交付,但售价最低的标准续航版Model 3,却迟迟未能送到消费者手中,预订者们对这一版本的Model 3也是期待已久。

    融合

    日本酒店解雇机器人员工,AI想抢人类饭碗没那么容易

     2018年年初,日本东京一家名为“Henn-na Hotel”的酒店“请”了243个机器人负责管理与服务。顾客从入住到离店,全程都由机器人引导与陪伴,在当时还引起了不小的轰动。然而时至今日不过一年时间,这家酒店却选择了对机器人“裁员”:解雇了一半的机器人。其中最主要的原因是,自从“雇用”了这些机器人员工之后,它们给酒店制造出的问题远远超过它们能够解决的问题。

    创投

    从1700亿跌到67亿,乐视网最后一天:9亿资金赌明天

     从2010年上市,到成为创业板“一哥”,凭借眼花缭乱的“生态化反”,乐视网在资本市场上缔造了一个又一个神话,其市值更是一度高达1700亿。