您的位置 首页 > 数码极客

“pcshare“PCShare远控C#.Net版源代码

网络安全公司Guardicore于近日发文称,他们自2017年以来一直在追踪Smominru僵尸网络,包括它的两个变种:Hexmen和Mykings。

有所了解的小伙伴应该知道,Smominru除了可以通过“永恒之蓝(EternalBlue)”漏洞传播,也能够通过暴力破解各种服务(包括MS-SQL、RDP、Telnet等)进行传播。

一旦它获得了对受感染设备的访问权限,就会尝试删除其他“竞争对手”、窃取受害者的账号和密码以及下载并安装门罗币矿工,并尝试借助蠕虫模块传播到处于同一网络下的其他设备上去。

在去年年初,Smominru就曾被报道感染了超过52.6万台设备,并通过挖掘门罗币获利230万美元。

Smominru最新受害者统计

据Guardicore发布的一份最新报告显示,Smominru僵尸网络目前仍然非常活跃,仅在上个月就感染了9万台设备。

图1.Smominru受害者统计数据

其中,受感染最严重的国家和地区包括中国、中国台湾、俄罗斯、巴西和美国(受感染设备都在1000台以上),主要是高等教育机构、医疗公司,甚至是网络安全公司。

图2.受感染设备分布情况

Windows7和Windows Server 2008仍然是受感染最严重的操作系统(约占所有感染系统的85%),这主要来源于网上有适合它们的“永恒之蓝”漏洞利用程序。

其他受感染操作系统还包括Windows Server 2012、Windows XP和Windows Server 2003,一些比较老旧的操作系统。

图3.受感染系统类型统计数据

虽然受感染的设备主要是一些小型服务器,但一些大型服务器也没有能够幸免。Guardicore表示,在他们发现的受感染服务器中,有200多台配置的都是8核以上的CPU。

图4.受感染服务器的CPU数量统计

Smominru的攻击流程

在感染设备后,Smominru就将下载用于传播到其他设备上去的蠕虫下载程序(u.exe)、MBR rootkit(max.exe)和一款名为“PcShare”的远程管理软件(u)。

图5.Smominru的攻击流程图

PcShare包含许多远程访问木马(RAT)功能,如信息窃取、命令执行、屏幕截图以及下载其他恶意软件等。Guardicore认为,PcShare主要被Smominru僵尸网络用来下载门罗币矿工。

如何检测和预防Smominru?

Guardicore发布了一个PowerShell脚本(下载地址:gi),可以用来检测自己的设备是否已经感染了Smominru病毒。

图6.在cmd下运行Guardicore的检测脚本

或者,你也可以通过检查如下文件是否存在,以此来判定是否已经被感染。

C:\Windows\Debug\i C:\ProgramFiles\Common Files\x C:\ProgramFiles\common Files\x

鉴于Smominru是通过“永恒之蓝(EternalBlue)”漏洞和暴力破解各种服务(包括MS-SQL、RDP、Telnet等)来进行传播的,因此建议大家及时安装相应的补丁并使用相对复杂的密码。

责任编辑: 鲁达

1.内容基于多重复合算法人工智能语言模型创作,旨在以深度学习研究为目的传播信息知识,内容观点与本网站无关,反馈举报请
2.仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证;
3.本站属于非营利性站点无毒无广告,请读者放心使用!

“pcshare,PCShare远控C#.Net版源代码,PCShare和gh0st”边界阅读