195期报告汇总
安天发布《ZombieBoy 挖矿木马分析报告》
近日,安天 CERT 在梳理网络安全事 件 时 发 现 一 个 名 为 ZombieBoy 的 木 马。 该木马最早出现于 2017 年底,分析人员 监测到该木马目前已经在多个行业迅速扩 散,其中,企业为感染的重灾区,教育行 业和政企单位等均受到不同程度的感染。 ZombieBoy 木马包含了内网扫描、“永恒 之蓝”漏洞利用、“双脉冲星”后门、挖 矿工具等多个恶意模块,是一款集端口扫 描、远控、挖矿功能为一体的混合型木马。
ZombieBoy 运行后,会在 windows 目 录下创建一个随机 5 位字母的文件夹,并 在该文件夹下释放“永恒之蓝”工具包、 端口扫描工具和“双脉冲星”后门植入工 具。创建 aC.exe 挖矿程序,下载 123.exe 到C:\\Windows\\System32\\sys.exe,并运行。 访问 http://v9.monerov8.com:8800/A.txt 获 取 URL 地址用于下载恶意文件 , 当前木马 的 URL 已失效。接下来该木马从自身释放 并执行 84.exe、创建脚本文件 SB360.bat 到 windows 目录下和下载执行 wk.exe 并将其 重命名为 CPUInfo.exe。84.exe 的主要功能 是检测是否存在名为 dazsks gmeakjwxo 的 服务,没有就创建该服务、删除自身和解 密 C2 地址等。创建脚本文件制定 IP 策略, 屏 蔽 135、139、445 等 端 口。CPUInfo.exe 的功能是运行挖矿进程。感染该挖矿木马 后清除比较麻烦,同时会出现内网传播的 情况。
安天 CERT 提醒广大政企客户,要提高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保所有的计算机在使用远程桌面服 务时避免使用弱密码,如果业务上无需使 用远程桌面服务,建议将其关闭。
目前,安天追影产品已经实现了对该 类木马的鉴定;安天智甲已经实现了对该 木马的查杀。