永恒之蓝漏洞附身“驱动人生”桌面日历，再掀风浪！

12月14日下午，360安全大脑监控到一批携带永恒之蓝漏洞攻击组件的下载器木马，该类木马主要通过“人生日历”等驱动人生系列产品升级组件下发。14日晚间，我司向厂商通过了相关情况，该下发活动已停止。截止目前，该木马累计攻击计算机超过6万台计算机（仅包括通过升级组件受到攻击的情况，不含利用漏洞的二次攻击情况，360安全卫士带有永恒之蓝漏洞免疫功能）。

这类木马具有自升级、远程下载文件执行、远程创建服务等功能，成功入驻宿主机器启动执行后，会首先将计算机名称、操作系统版本、软硬件信息等发往木马服务器，并接收远程指令执行下一步操作—1. 开启门罗币挖矿服务。2.利用永恒之蓝漏洞利用工具包传播。

若其收到的指令为挖矿，该木马会将解压出的代码映射到共享内存中，作为shellcode在内存中执行，这个所谓的shellcode其实就是一个门罗币挖矿模块。有趣的是，在执行挖矿时，木马母体程序还会检查当前机器的运行状况，如果发现启动游戏或者任务管理器，就会立即结束掉挖矿进程。

    若指令为开启永恒之蓝漏洞攻击，在获取到文件后，它会将其解压为使用Python代码编译成的exe程序，其功能是使用已公开的永恒之蓝漏洞，通过自行构造的SMB数据向局域网内和互联网其他机器发起攻击，并执行下载安装木马的指令以传播自身。

除木马本身功能外，我们还发现该木马的代码中含有大量debug信息输出，因此该木马很可能尚处于测试阶段，并未最终完成，同时当前木马的C&C依然处于活跃状态，所以木马可能会因为服务器指令的变化而出现其他功能上的更新。

针对该木马的攻击态势，360安全专家向广大用户提出建议：

1.  做好相关重要数据备份工作。

2.  加强系统安全工作，及时升级软件与安装操作系统补丁。

3.  服务器暂时关闭不必要的端口（如135、139、445）

4.  服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解

5.  360安全卫士已在第一时间对该木马进行了拦截查杀，此外360安全卫士具备的永恒之蓝漏洞免疫功能，可保护用户免遭该木马攻击，建议大家及时安装!

详细报告请戳阅读原文：

阅读原文