整體執(zhí)行流程
?相關模塊具體分析:svhost.exe(32位與64位版)
1)注冊自身為Ddriver服務:
注冊服務名
2)獲取系統(tǒng)產品號以及顯卡等信息:
獲取顯卡信息
3) 查看安全軟件信息�����,從下圖可以看出主流安全軟件都羅列在內����。
獲取安全軟件信息
4) 將獲取到的用戶電腦信息作為請求參數獲得shellcode指令執(zhí)行。從請求URL可以看出之前獲取到用戶名稱以及CPU��,UUID等相關信息�����。
獲取shellcode
5) 從服務器hxxp://dl.haqo.net/獲取加密的惡意代碼eb.exez(svvhost.exe母體)進行執(zhí)行。
下載svvhost.exe
?相關模塊具體分析:svvhost.exe
快速枚舉局域網中主機的445端口�,使用永恒之藍漏洞進行攻擊�,運行界面會回顯出當前局域網主機版本以及是否打過補丁��。攻擊成功后下載svhost副本�����,增加受感染主機數量���。
枚舉局域網中的445端口
安全解決方案
迪普科技安全研究院提醒廣大用戶:對于已經感染主機,建議盡快對感染主機進行斷網隔離�����,可以通過查看系統(tǒng)目錄
C:\Windows\SysWOW64(system32)下是否存在svhost.exe\svhhost.exe文件��,以及查找“Ddriver”服務定位刪除惡意文件����。
此外�,可參考如下建議提高防御能力:
1、服務器使用高強度密碼���,切勿使用弱口令���,防止黑客暴力破解;
2��、服務器暫時關閉不必要的端口(如135�、139���、445);
3�����、盡量關閉不必要的文件共享;
4�、及時升級系統(tǒng)補丁��。
迪普科技解決方案
迪普科技安全研究院監(jiān)測到“驅動人生”木馬病毒爆發(fā)后�����,迅速采取了應急措施����。
1����、目前DPtech IPS2000�、FW1000可對“驅動人生”所傳播病毒可以進行有效防護�����,對應特征庫版本號如下:
◆產品系列:
IPS2000���,F(xiàn)W1000
◆病毒庫版本:AV-R1.4.466
2����、使用DPtech慧眼安全檢測產品資產盤點功能����,快速識別出現(xiàn)網開啟高危端口的資產;使用安全漏洞檢測功能識別出易被病毒感染的高危風險資產,并根據相應的修復建議進行安全加固���。
3�����、在接入層部署DPtech LSW3600-SE系列自安全交換機�����,可使網絡接入主動識別木馬�����、蠕蟲等病毒傳播行為并實時處置�����,天然防止病毒傳播;可視化定位病毒傳播源�,幫助管理員快速處理內網威脅。
4�����、迪普科技官網特征庫下載地址:
http://www.dptech.com/down.php?3
聯(lián)系我們
迪普科技正在全力跟蹤相關漏洞的最新進展�,請啟動設備自動更新特征庫功能,有疑問的客戶也可聯(lián)系迪普科技當地辦事處售后人員或撥打客戶服務熱線電話:400-6100-598���,進一步了解相關情況。
