241期恶意代码信息
2020/07/27-2020/08/02
内容提要:经安天【CERT】检测分析,本周有 3 个活跃的漏洞以及 7 个活跃的恶意代码家族值得关注
关注方面 | 名称与发现时间 | 威胁等级 | 相关描述 |
活跃漏洞 | Microsoft Windows 和 WindowsServer 安全漏洞(CVE-2020-1436) | 高 | 当 Windows 字体库不正确地处理经特殊设计的字体时,存在远程代码执行漏洞。对于除 Windows 10 之外的所有系统,成功利用此漏洞的攻击者可以远程执行代码。对于 Windows 10 系统,成功利用此漏洞的攻击者可以利用受限的特权和功能在 AppContainer 沙盒上下文中执行代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 |
Microsoft Word 安全漏洞(CVE-2020-1447) | 高 | Microsoft Word 软件无法正确处理内存中的对象时,会触发远程代码执行漏洞。成功利用此漏洞的攻击者可以使用经特殊设计的文件在当前用户的安全上下文中执行操作。例如,文件可以代表登录用户使用与当前用户相同的权限执行操作。 | |
Microsoft Windows Graphics DeviceInterface 安全漏洞(CVE-2020-1435) | 高 | Windows 图形设备接口 (GDI) 处理内存中对象的方式中存在远程代码执行漏洞。成功利用此漏洞的攻击者可能会控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 | |
较为活跃 样本家族 |
Trojan[Backdoor]/MSIL.Bladabindi | 中 | 此威胁是一种使用 C# 语言编写的具有后门行为的木马家族。该家族木马为 NJ Rat 所生成的被控制端,在执行后会与远程服务器通讯并接收远程服务器的控制。该木马具有窃密行为和其他恶意行为。 |
Trojan[Backdoor]/Win32.CosmicDuke | 中 | 此威胁是一种后门类木马家族。该家族木马具有很多功能,例如记录键盘击键、获取剪切板信息、监视用户屏幕、窃取聊天软件、电子邮件账号密码,收集系统文件信息,将收集到的信息通过 FTP 发送到远程服务器,从远程服务器下载恶意程序等。 | |
Trojan/Win32.Salgorea | 中 | 此威胁是一种可以窃取密码信息的木马家族。该家族木马运行后会窃取用户账户信息,记录键盘击键信息并将相关信息回传服务器。 | |
Trojan[Backdoor]/Linux.Mirai | 中 | 此威胁是一种 Linux 平台上的僵尸网络家族。该家族木马主要是利用漏洞传播并组建僵尸网络。 | |
Trojan[Backdoor]/Linux.Gafgyt | 中 | 此威胁是一种 Linux 平台上的具有 DDoS 攻击功能的后门家族。该家族样本运行后会在 Linux 上开启一个后门并允许远程控制端执行任意操作。 | |
Trojan/Android.Fakeapp | 中 | 此威胁是一种伪装类木马家族。该家族样本通常伪装为主要应用程序(Fackbook 等),诱导用户输入账号密码,通过 firebase 联网上传或发送短信等方式窃取用户的账号密码,造成用户隐私泄露和资费消耗。 | |
Trojan/Android.Hqwar | 低 | 此威胁是安卓平台上一种间谍类木马家族。该家族木马运行后,伪装成系统应用,联网上传用户短信、通讯录、通话记录、录音、位置信息等隐私信息,私自发送指定短信,造成用户隐私泄露和资费消耗。 |