281期恶意代码信息
2021/05/31-2021/06/06
经安天【CERT】检测分析,本周有 3 个活跃的漏洞以及 7 个活跃的恶意代码家族值得关注
| 关注方面 | 名称与发现时间 | 威胁等级 | 相关描述 |
| 活跃漏洞 | Nginx DNS Resolver 远程代码执行漏洞(CVE-2021-23017) | 高 | Nginx DNS Resolver 存 在 远 程 代 码 执 行 漏 洞。 由 于 Nginx 的 DNS Resolver 组件在未压缩的域名处理上存在逻辑错误,使得攻击者可疑构造恶意数据执行远程代码攻击。 |
| Microsoft HTTP 协议栈的远程代码执行漏洞(CVE-2021-31166) | 高 | Microsoft HTTP 协议栈存在远程代码执行漏洞。由于 HTTP 协议栈中存在 use-after-free 错误,使得攻击者可以向受影响的系统发送特制的 HTTP 请求并执行任意代码。 | |
| VMware vCenter Server 远 程 代 码执行漏洞(CVE-2021-21985) | 高 | VMware vCenter Server 存在远程代码执行漏洞。由于对 Virtual SAN 运行状况检查插件(默认情况下已启用)中用户提供的输入的验证不足。远程未经身份验证的攻击者可以向端口 443/tcp 上可用的 vSphere Client 发送特制的 HTTP 请求,并在托管 vCenter Server 的底层操作系统上以不受限制的特权执行任意命令。 | |
|
较为活跃 样本家族 |
Trojan/Win32.Scar | 中 | 此威胁是一种木马类程序,可以将某些金融网站重定向到攻击者设置的另一个地址,模仿登录界面从而窃取用户密码。 |
| Trojan[Proxy]/Win32.Qukart | 中 | 此威胁是一种可以窃取用户信息并通过代理服务器回传信息的木马类家族。该家族样本收集系统的敏感信息,通过 http 请求发送到指定网页。该家族在后台会自动更新。 | |
| Trojan/Win32.Mansabo | 中 | 此威胁是一种可以窃取密码信息的木马类家族。该家族的样本运行后会窃取用户账户信息,记录键盘击键信息,造成用户隐私泄露。 | |
| Trojan/Win32.Khalesi | 中 | 此威胁是一种具有多种恶意功能的家族木马。该家族样本运行后,会窃取系统账户信息,记录键盘击键信息,下载其他恶意软件。该家族样本通过钓鱼邮件传播,通过添加计划任务持久驻留系统。 | |
| Trojan[Ransom]/Win32.Blocker | 中 | 此威胁是一种赎金类木马家族。该家族木马运行后会破坏电脑系统、损坏用户的文件,对用户文件加密使用户无法打开。此时黑客会向用户索要赎金并提供所谓的“密钥”,但用户支付赎金后仍然不能修复受损的文件。 | |
| Trojan[Backdoor]/Linux.Mirai | 中 | 此威胁是一种 Linux 平台上的僵尸网络家族。该家族样本主要是利用漏洞传播并组建僵尸网络,并利用僵尸网络传播相关恶意软件。 | |
| Trojan[Dropper]/Android.Wroba | 中 | 此威胁是安卓平台上的一种恶意代码释放类木马家族。该家族木马运行后激活设备管理器、隐藏图标。接收短信指令,根据指令拦截指定短信,伪造新版本通知释放恶意 apk 同时卸载正常程序,上传手机用户隐私信息至远程服务器地址。 |