Win7今日停更,腾讯安全持续护航系统安全
【文章摘要】 腾讯平安御见威胁情报中心克日监测发现一款通过社会工程骗术流传的“老虎”挖矿木马。攻击者将木马程序伪装成“火爆新闻”、“色情内容”、“隐私资料”、“诈骗技巧”等虚伪文件名,通过社交网络发送到目的电脑,得手后植入大灰狼远控木马等恶意程序,窃取大量用户个人隐私信息,中毒电脑更可能遭到远程控制。现在,该木马已熏染超5000台电脑。因其挖矿使用的自建矿池包罗字符“laofubtc”,腾讯平安手艺专家将其命名为“老虎”挖矿木马(LaofuMiner)。近期,腾讯平安御见威胁情报中心接到用户求助,称自己收到网友发来的“存取款纪录”新闻,出于好奇便点击打开了其中以.exe为后缀的文档,发现并无“猛料”,自己却落入了造孽黑客的陷阱之中。
腾讯平安御见威胁情报中心克日监测发现一款通过社会工程骗术流传的“老虎”挖矿木马。攻击者将木马程序伪装成“火爆新闻”、“色情内容”、“隐私资料”、“诈骗技巧”等虚伪文件名,通过社交网络发送到目的电脑,得手后植入大灰狼远控木马等恶意程序,窃取大量用户个人隐私信息,中毒电脑更可能遭到远程控制。现在,该木马已熏染超5000台电脑。因其挖矿使用的自建矿池包罗字符“laofubtc”,腾讯平安手艺专家将其命名为“老虎”挖矿木马(LaofuMiner)。
据腾讯平安御见威胁情报中心监测数据统计,此次有数千家企业受到“老虎”挖矿木马攻击影响,北京、广东、上海、河南、山东等地,成为本次攻击受害较严重的区域。现在,腾讯电脑管家、腾讯平安终端平安治理系统已周全阻挡并查杀该挖矿木马,同时提醒宽大用户保持平安小心,切勿点击旁观该类虚伪文件以防中招。
(图:腾讯平安终端平安治理系统)
腾讯平安专家经由深入溯源剖析后,发现“老虎”挖矿木马同2018年发现的灰熊挖矿木马(BearMiner)二者的文件服务器和矿池域名都指向相同的IP,可以推测“灰熊”和“老虎”挖矿木马同属一个黑产团伙。克日,“老虎”替换“灰熊”挖矿木马出现新的活跃趋势。
腾讯安全紧急发布CVE-2020-0601漏洞利用恶意样本专杀工具
(图:“老虎”挖矿木马指向剖析IP的域名列表)
据腾讯平安专家先容,“老虎”挖矿木马善于伪装,行使多种诱骗手段隐藏自己,令普通用户难觅踪迹。首先该挖矿木马会将文件属性伪装成音频设备公司“Waves Audio”的相关信息,并在首次执行后写入大量垃圾数据到150MB,以此逃避杀毒软件检测。此外,释放矿机程序文件还会伪装成显卡制造商NVIDIA的驱动程序,占用CPU资源高达97%,以此逃避查杀,导致系统严重卡顿无法正常运行。
在此次攻击案例中,“大灰狼”远控木马作为一款老牌远控工具,时至今日仍备受黑产圈喜好。据报道,现在该木马原始作者已经离世,但相关代码已漂泊黑产圈开源共享,差别的病毒木马团伙对其定制革新后公布了诸多变种肆意作恶。值得注意的是,该团伙经常使用破绽、钓鱼文档等手段流传木马,同时谋划外挂、私服、流量挟制、后门安装等非法交易,严重威胁用户的信息财富平安。
随着黑产团伙手艺手段不停的进化,不管是对攻击目的精挑细选,照样对手艺手段不停升级,黑产团伙的焦点目的照样在于熏染更多用户电脑,攫取更高的收益。因此,若何抵御黑产攻击成为企业一样平常网络平安建设事情的重中之重。
面临来势汹汹的“老虎”挖矿木马,腾讯平安反病毒实验室卖力人马劲松提醒宽大用户保持优越的上网习惯,不要容易点击来历不明的文件,对于可疑文件可使用腾讯电脑管家和腾讯平安终端平安治理系统举行平安检测。同时,打开资源治理器文件夹选项中的“查看已知文件的扩展名”,可实时判断文件是否平安。对于已经“中招”的用户,可以使用腾讯电脑管家等主流杀毒软件举行查杀清算。或接纳手动清算方案,删除以下文件:C:\Program Files (x86)\Microsoft WavesSys\WavesSys.exe、C:\Program Files (x86)\Microsoft WavesSys\WavesSys.dll、C:\Program Files (x86)\Microsoft SvidaPaun\SvidaPaun.exe、C:\Program Files (x86)\Microsoft Hdejpp\Xtuzqan.exe。删除以下服务:”Corporati Assemblies WavesSyse“、“Wszswc wyksdvuf”、“Wsxxsw ndcbxauv”。
(图:腾讯平安高级威胁检测系统)
同时,建议企业用户使用腾讯平安高级威胁检测系统,基于腾讯平安在云和端的海量数据积累形成的怪异威胁情报和恶意检测模子系统,可辅助企业客户预先检测挖矿程序外联等异常行为,防患于未然。
【安全通告】Apache Tomcat 文件包含漏洞(CNVD-2020-10487)