整體執(zhí)行流程

?相關模塊具體分析:svhost.exe(32位與64位版)

1)注冊自身為Ddriver服務:

注冊服務名

2)獲取系統(tǒng)產(chǎn)品號以及顯卡等信息:

獲取顯卡信息

3) 查看安全軟件信息,從下圖可以看出主流安全軟件都羅列在內(nèi)。

獲取安全軟件信息

4) 將獲取到的用戶電腦信息作為請求參數(shù)獲得shellcode指令執(zhí)行。從請求URL可以看出之前獲取到用戶名稱以及CPU,UUID等相關信息。

獲取shellcode

5) 從服務器hxxp://dl.haqo.net/獲取加密的惡意代碼eb.exez(svvhost.exe母體)進行執(zhí)行。

下載svvhost.exe

?相關模塊具體分析:svvhost.exe

快速枚舉局域網(wǎng)中主機的445端口,使用永恒之藍漏洞進行攻擊,運行界面會回顯出當前局域網(wǎng)主機版本以及是否打過補丁。攻擊成功后下載svhost副本,增加受感染主機數(shù)量。

枚舉局域網(wǎng)中的445端口

安全解決方案

迪普科技安全研究院提醒廣大用戶:對于已經(jīng)感染主機,建議盡快對感染主機進行斷網(wǎng)隔離,可以通過查看系統(tǒng)目錄

C:\Windows\SysWOW64(system32)下是否存在svhost.exe\svhhost.exe文件,以及查找“Ddriver”服務定位刪除惡意文件。

此外,可參考如下建議提高防御能力:

1、服務器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解;

2、服務器暫時關閉不必要的端口(如135、139、445);

3、盡量關閉不必要的文件共享;

4、及時升級系統(tǒng)補丁。

迪普科技解決方案

迪普科技安全研究院監(jiān)測到“驅(qū)動人生”木馬病毒爆發(fā)后,迅速采取了應急措施。

1、目前DPtech IPS2000、FW1000可對“驅(qū)動人生”所傳播病毒可以進行有效防護,對應特征庫版本號如下:

◆產(chǎn)品系列:

IPS2000,F(xiàn)W1000

◆病毒庫版本:AV-R1.4.466

2、使用DPtech慧眼安全檢測產(chǎn)品資產(chǎn)盤點功能,快速識別出現(xiàn)網(wǎng)開啟高危端口的資產(chǎn);使用安全漏洞檢測功能識別出易被病毒感染的高危風險資產(chǎn),并根據(jù)相應的修復建議進行安全加固。

3、在接入層部署DPtech LSW3600-SE系列自安全交換機,可使網(wǎng)絡接入主動識別木馬、蠕蟲等病毒傳播行為并實時處置,天然防止病毒傳播;可視化定位病毒傳播源,幫助管理員快速處理內(nèi)網(wǎng)威脅。

4、迪普科技官網(wǎng)特征庫下載地址:

http://www.dptech.com/down.php?3

聯(lián)系我們

迪普科技正在全力跟蹤相關漏洞的最新進展,請啟動設備自動更新特征庫功能,有疑問的客戶也可聯(lián)系迪普科技當?shù)剞k事處售后人員或撥打客戶服務熱線電話:400-6100-598,進一步了解相關情況。

分享到

songjy

相關推薦