251期恶意代码信息
2020/10/19-2020/10/25
经安天【CERT】检测分析,本周有 3 个活跃的漏洞以及 7 个活跃的恶意代码家族值得关注
| 关注方面 | 名称与发现时间 | 威胁等级 | 相关描述 |
| 活跃漏洞 | Microsoft Windows Hyper-V 远 程代码执行漏洞(CVE-2020-16891) | 高 | Microsoft Windows Hyper-V 中存在安全漏洞。当主机服务器上的Windows Hyper-V 无法正确验证来宾操作系统上经身份验证的用户的输入时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以在主机操作系统上执行任意代码。 |
| Microsoft Windows TCP/IP 远程代码执行漏洞(CVE-2020-16898) | 高 | Microsoft Windows TCP/IP 中存在安全漏洞。当 Windows TCP/IP 堆栈不当处理 ICMPv6 Router Advertisement 数据包时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以获取在目标服务器或客户端上执行代码的能力。 | |
| TMicrosoft GDI 远程代码执行漏洞(CVE-2020-16911) | 高 | Microsoft GDI 中存在安全漏洞。Windows 图形设备接口 (GDI) 处理内存中对象的方式中存在远程代码执行漏洞。成功利用此漏洞的攻击者可能会控制受影响的系统。 | |
|
较为活跃 样本家族 |
Trojan[Banker]/Win32.Emotet | 中 | 此威胁是一个具有窃取银行账户行为的木马家族。该家族木马在执行后会在后台对进程进行监控,监视登陆银行页面的进程并记录信息,回传攻击者服务器。 |
| Trojan/Win32.SelfDel | 中 | 此威胁是一种对恶意木马家族。该家族木马的主要功能是对抗反病毒软件或安全工具,通常会关闭反病毒软件或安全工具的进程。该家族木马同时还具有删除反病毒软件的病毒库、文件或安全工具的功能。 | |
| Trojan[Banker]/Win32.Banbra | 中 | 此威胁是一种专门用于盗取银行信息木马家族。该家族木马运行后能够感染硬盘的主引导记录,对包括使用 EV-SSL 的 HTTPS 在内所有类型的网络流量进行监控,在被窃取的信息发送到金融网站之前就被传送到远程服务器上。 | |
| Trojan[Dropper]/Win32.Dinwod | 中 | 此威胁是一种具有释放或捆绑行为的木马类家族。该家族木马在感染用户系统之后,会自动释放并安装其它恶意程序。该家族的部分变种还具有强制关闭杀毒软件的能力。 | |
| Trojan[Packed]/Win32.Katusha | 中 | 此威胁是一种木马家族。该家族木马通常伪装成常用软件的更新程序,通过电子邮件传播,伺机感染用户计算机。利用社会工程学诱骗用户执行附件程序。该家族木马还会自动下载其它恶意软件,伪造虚假警报提示,以欺骗用户进行付费。 | |
| Trojan[Backdoor]/Linux.Mirai | 中 | 此威胁是一种 Linux 平台上的僵尸网络家族。该家族样本主要是利用漏洞传播并组建僵尸网络,并利用僵尸网络传播相关恶意软件。 | |
| Trojan/Android.Hqwar | 中 | 此威胁是安卓平台上一种间谍类木马家族。该家族木马运行后,伪装成系统应用,联网上传用户短信、通讯录、通话记录、录音、位置信息等隐私信息,私自发送指定短信,造成用户隐私泄露和资费消耗。 |