安全公告
当前位置: 首页>>网络安全>>安全公告>>正文
关于“驱动人生”再现新型下载木马变种的安全公告
2019-02-28   消息来源:亚心安全   (点击: )

大工网安告[2019]004号

一、情况分析

驱动人生是一款免费的驱动管理软件,实现智能检测硬件并自动查找安装驱动,为用户提供最新驱动更新,本机驱动备份、还原和卸载等功能。

近日,亚信安全截获该下载木马的最新变种,除了利用“永恒之蓝”漏洞以及1月新增的RDP弱口令传播外,其增加了MsSQL数据库弱口令爆破功能,爆破成功后其会在目标计算机中添加一个名为“k8h3d”的帐户并植入后门程序,亚信安全将下载木马命名为Trojan.Win32.ZPEVDO.AE。

二、影响范围

Trojan.Win32.ZPEVDO.AE木马生成如下文件:

· %User Temp%\_MEI{random digits}\_ctypes.pyd

· %User Temp%\_MEI{random digits}\_hashlib.pyd

· %User Temp%\_MEI{random digits}\_mssql.pyd

· %User Temp%\_MEI{random digits}\_socket.pyd

· %User Temp%\_MEI{random digits}\_ssl.pyd

· %User Temp%\_MEI{random digits}\bz2.pyd

· %User Temp%\_MEI{random digits}\Crypto.Cipher._AES.pyd

· %User Temp%\_MEI{random digits}\Crypto.Cipher._ARC4.pyd

· %User Temp%\_MEI{random digits}\Crypto.Cipher._DES.pyd

· %User Temp%\_MEI{random digits}\Crypto.Cipher._DES3.pyd

· %User Temp%\_MEI{random digits}\Crypto.Hash._MD4.pyd

· %User Temp%\_MEI{random digits}\Crypto.Hash._SHA256.pyd

· %User Temp%\_MEI{random digits}\Crypto.Random.OSRNG.winrandom.pyd

· %User Temp%\_MEI{random digits}\Crypto.Util._counter.pyd

· %User Temp%\_MEI{random digits}\Crypto.Util.strxor.pyd

· %User Temp%\_MEI{random digits}\ii.exe.manifest

· %User Temp%\_MEI{random digits}\Microsoft.VC90.CRT.manifest

· %User Temp%\_MEI{random digits}\msvcm90.dll

· %User Temp%\_MEI{random digits}\msvcp90.dll

· %User Temp%\_MEI{random digits}\msvcr90.dll

· %User Temp%\_MEI{random digits}\python27.dll

· %User Temp%\_MEI{random digits}\pywintypes27.dll

· %User Temp%\_MEI{random digits}\select.pyd

· %User Temp%\_MEI{random digits}\unicodedata.pyd

· %User Temp%\_MEI{random digits}\win32api.pyd

· %User Temp%\_MEI{random digits}\win32pipe.pyd

· %User Temp%\_MEI{random digits}\win32wnet.pyd

· {malware path}\oskjwyh28s3.exe

木马配置文件新增了弱口令字典,用于MsSQL数据库爆破,爆破成功后,该变种会在目标计算机中添加一个名为“k8h3d”的帐户并植入后门。

三、处置建议

· 建议尽快卸载

· 打开系统自动更新,并检测更新进行安装;

· 电脑设置高强度复杂密码,切勿使用弱口令,防止黑客暴 力破解;

· 数据库设置高强度复杂登录密码。