历史上的今天
今天是:2025年02月26日(星期三)
2019年02月26日 | 瑞星成功截获国内首个利用WinRAR漏洞的远控木马
2019-02-26 来源:威客安全
2019年2月21日,全球用户量最大的解压软件WinRAR被爆存在严重的代码执行漏洞CVE-2018-20250,漏洞遗留时间预计长达19年,可能将会有超过5亿的用户受到WinRAR漏洞影响。短短三天,瑞星便捕获到全国首个利用WinRAR最新漏洞CVE-2018-20250进行传播的.ace恶意文件。
该恶意文件会下载一款Orcus远控木马,其最大的特点在于能够加载开发者自定义的插件,并具有录音、键盘记录、密码窃取、远程控制桌面、监视进程、监控网络等恶意操作。这就意味着不仅用户的隐私信息会被攻击者窃取,而且电脑也会被攻击者远程控制。
瑞星安全专家提醒,用户应及时到压缩软件官网,下载并安装最新版本。谨防钓鱼邮件,不要轻易下载并解压可疑的压缩文件。安装杀毒软件,定期查杀病毒。目前,瑞星公司所有产品均可对病毒进行拦截。
图:瑞星ESM成功拦截截图
病毒分析
恶意文件通过钓鱼邮件、网址挂马等方式进行传播,当用户利用解压软件对其进行解压时,病毒会同时释放两个文件,而在用户端只能看到一个安全正常的文件。
图:安全无毒的文件
另外一个文件是一个JS脚本,在系统的程序启动路径下释放。该脚本访问web网址下载远控木马到计算机,然后运行木马程序控制用户计算机。
在程序启动路径中释放一个JS脚本文件。
C:\Users\\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup
图:压缩文件将要解压的JS脚本
图:被释放到系统程序启动中
该JS代码经过混淆加密,对其进行解密后可以发现是一个木马下载者。在“https://cdn.discordapp.com/attachments/332388559472295947/549167046764789760/stub.exe”中下载一个木马程序保存到用户计算机的“\%appdata%\stub.exe”。
图:经过混淆加密的JS代码
图:解密后的JS代码
下载的程序是一款Orcus远控木马。Orcus并非是与TeamViewer相似的远控工具。Orcus最大的特点在于能够加载开发者自定义的插件。该款远控木马功能齐全,如:录音功能、键盘记录、密码窃取、远程桌面、进程管理、网络管理等。
图: Orcus功能函数
防御措施
1、访问压缩软件官网,下载并安装最新版本。
使用WinRAR的用户建议尽快将WinRAR升级至5.70 Beta 1。
史海拾趣
|
replyreload += \',\' + 305164;寒假回家前人品爆发第七帖。 书名:开关电源手册 (第二版) 作者:(日)原田耕介 译者:耿文学 译 版权:机械工业出版社 版次:2004-8-1 总页数:585 文件格式:PDF 文件大小:12.9M 压缩包 ...… 查看全部问答> |
|
现在bsp里有2个nandflash驱动 D:\\WINCE600\\PLATFORM\\SMDK6410\\SRC\\COMMON\\NANDFLASH\\Fmd\\ D:\\WINCE600\\PLATFORM\\SMDK6410\\SRC\\DRIVERS\\NANDFLASH\\Fmd\\ 怎么会有2个驱动啊, 有什么区别? … 查看全部问答> |
|
政府怎么就采购这些东西呢?我弄不明白 ! 你有工程经验吗?我可没那么小的改刀!我在现场怎么接啊!靠。还带空气开关,你的终端不带强制开关灯啊。那我装你的设备干 ...… 查看全部问答> |
|
今天在调试一个18B20的程序,好好的把GPIO研究了一下,这是我收集的中文资料,希望对大家有点帮助 unsigned long GPIODirModeGet ( unsigned long ulPort, unsigned char ucPin ) ...… 查看全部问答> |
|
如题:我的配置如下,有的时候程序下载下去,标志位有但是不进RTC中断,图片中是没有进中断时RTC寄存器的值,有劳版主赐教! void RTC_Configuration(void) { RCC_APB1PeriphClockCmd(RCC_APB1Periph_PWR | RCC_APB1Periph_ ...… 查看全部问答> |
|
想用片上AD测量现场过来的标准信号(0-5V,4-20mA) 在没有隔离模块的情况下想保证430不被现场的超流超压信号烧毁 该如何做? 大家应用片上AD的场合都是怎么用的呢?… 查看全部问答> |