CNCERT:關於“驅動人生”木馬程式有關情況的通報
12月14日下午開始,網際網路上出現了一款利用“驅動人生”升級通道,並同時利用永恆系列高危漏洞傳播的木馬突發事件,存在一定網路安全風險隱患。我中心立即啟動應急機制,對此事件開展監測分析工作。
一、“驅動人生”木馬程式基本情況
綜合CNCERT和國內網路安全企業(騰訊公司、360公司)已獲知的樣本情況和分析結果,驅動人生旗下的“人生日曆”等軟體,通過其升級元件dtlupg.exe,開始下發執行木馬程式F79CB9D2893B254CC75DFB7F3E454A69.exe。該木馬程式具備遠端執行程式碼功能,啟動後會將使用者計算機的詳細資訊發往木馬伺服器控制端,並接收遠端指令執行下一步操作。此外,該木馬還攜帶有永恆之藍漏洞攻擊元件,可利用該漏洞攻擊區域網與網際網路其他機器,進行傳播擴散。
據深圳市驅動人生科技股份有限公司於12月15日釋出的宣告所述,該公司部分老版本升級元件程式碼漏洞被惡意攻擊,導致了此次木馬傳播事件的發生。
二、感染情況
CNCERT持續對“驅動人生”木馬程式進行監測,截至12月15日17時,累計發現境內下載該木馬程式的主機為9.9萬餘臺,其中廣東、江蘇、北京等省受影響主機數量較多。木馬程式所在的下載端IP有3個,均位於境外。境內主機下載該木馬程式的時間段為14日14時16分至15日14時26分,集中爆發於14日18時左右。15日14時26分至17時期間,並未監測到下載情況。目前,該下載端URL連結已失效。
同時,CNCERT對木馬程式控制端IP進行分析發現,“驅動人生”木馬程式控制端地址為6個,控制端IP地址均位於境外。截至12月15日17時,累計發現境內共有2.1萬餘臺被控主機上線並連線控制端。
三、處置防範建議
(一)驅動人生老版本使用者應手動更新升級版本。
(二)安裝並及時更新防毒安全軟體。
(三)做好相關重要資料備份工作。
(四)關閉445等埠(其他關聯埠如: 135、137、139)的外部網路訪問許可權,在伺服器上關閉不必要的上述服務埠。
(五)伺服器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解。
(六)可安裝騰訊電腦管家或360安全衛士等安全軟體進行此類木馬程式的查殺。
宣告:本文來自國家網際網路應急中心CNCERT,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。