关于利用“驱动人生”升级程序传播木马的预警

发布时间:2018-12-17 08:18:54 来源:武汉市互联网信息办公室 发布人:办公室管理员 浏览次数:

近日,一款通过“驱动人生”、“人生日历”等升级通道,并同时利用“永恒之蓝”高危漏洞传播的木马突然爆发,其具备远程执行代码功能,启动后会将用户计算机的IP地址、CPU型号等信息回传至木马服务器,并通过“永恒之蓝”高危漏洞进行全网传播(特别是政企单位局域网),建议重点关注。

攻击方式:

此木马通过“驱动人生”的升级推送功能进行大量传播。入侵用户计算机后,会下载执行云控木马,木马在启动后,会根据服务器指令,下载一款“永恒之蓝”漏洞利用工具,通过该漏洞利用工具,在局域网内进行主动扩散,攻击成功后,使用Windows的内置程序CertUtil做跳板,向其它机器安装该木马(也可以安装其它木马,由云端服务器决定)。

处置建议:

1、建议关闭“驱动人生”软件的升级推送功能;

2、加强系统安全,及时升级软件与安装操作系统补丁,修复漏洞;

3、安装防病毒软件,并注意及时升级至最新病毒库,开启实时查杀;

4、尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445、135、139、3389;

5、所有服务器、终端应强行实施复杂密码策略,杜绝弱口令,防止黑客暴力破解;

6、对重要的数据文件定期进行非本地备份。

 

东西湖区教育局办公室

2018年12月17日