前言:最近因弱口令密码导致电脑被远程植入病毒案例增加,提醒广大网民当发现开机卡慢,服务器运行不正常等异常问题时,请尽快使用急救箱改名运行进行查杀,如果这些服务器设置了弱口令,需要尽快修改,对于无需使用的服务不要随意开放,开放的服务是黑客入侵的前提。对于必须使用的服务,注意相关服务的弱口令问题。
暗云4是一个作案已久的木马病毒,近日我们又一次监测到此病毒活动频繁,且此次此木马主要在服务器系统传播。不仅如此,我们接到用户反馈,称他们发现电脑出现异常后尝试了各种方法试图抢救,最后甚至重装了系统,但还是没能摆脱此病毒的围追堵截。针对此病毒,我们进行了详细的分析,破解了此木马的活动行为,目前,360安全卫士已经率先拦截查杀该木马。
通过详细分析,我们发现此木马主要是通过MySQL MSSQL弱口令入侵用户服务器后传播,且此病毒极有可能在日后转型为勒索病毒,对此360安全团队提醒大家,若目前正在使用弱口令请尽快修改口令,以免中招。
木马行为分析
入侵服务器释放文件到
C:\\Windows\\Temp\\v.exe
木马文件信息为:
360社区
写入函数:
360社区
取活动分区对应的磁盘序号:
360社区
判断MBR分区:
360社区
是否已经写入:
360社区
备份成功后写入:
360社区
开机后,这次去掉了DPC保护,其余代码跟之前一样,比如对急救箱工具的对抗:
重启后设备信息:
360社区
开启线程循环检测以下进程,然后直接结束进程:
360社区
最后通过插入APC向Winlogon.exe进程注入代码,网上下载恶意代码挖矿:
360社区
目前360安全卫士已经率先支持拦截查杀:
360社区
|
|
|
|
评论
直达楼层