快捷搜索:

您的位置:环球彩票登陆 > 环球彩票登陆 > 瑞星成功截获国内首个利用WinRAR漏洞的远控木马

瑞星成功截获国内首个利用WinRAR漏洞的远控木马

发布时间:2019-10-19 20:43编辑:环球彩票登陆浏览(184)

    以 WinRAR 为例操作:

    目前,腾讯电脑管家已实现对该木马进行全面拦截并查杀,建议用户及时防范。

    该JS代码经过混淆加密,对其进行解密后可以发现是一个木马下载者。在“

    环球彩票登陆 1

    环球彩票登陆 2

    图:常规与可疑压缩包对比

    环球彩票登陆 3

    腾讯电脑管家安全专家表示,Lime-RAT远控木马的运作基本遵从上述逻辑。当用户使用存有高危漏洞的压缩/解压软件,打开事先被攻击者刻意构造的压缩文件后,携有恶意代码的文件便在此时进入系统。随后,用户系统就会被添加一个开机启动项并生成了一个每45分钟一次的定时启动任务。至此,Lime-RAT远控木马就被成功植入到用户电脑系统中,一旦用户电脑重新启动,远控木马就能成功运行。

    1、访问压缩软件官网,下载并安装最新版本。

    据报道,在 WinRAR 的 UNACEV2.dll 代码库中发现严重安全漏洞,众多压缩工具支持 .ace 格式文件的解压缩,存在漏洞的 ACE 解压模块文件 unacev2.dll 创建于 2005 年,已经 14 年未更新。

    当前,隐藏于压缩文件WinRAR漏洞中的病毒木马攻击活动仍较活跃,给使用者带来一定的安全隐患。如何有效抵御不法黑客攻击?腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大用户,警惕来历不明的压缩文件,切勿随意打开未知文件,并建议使用腾讯电脑管家等安全软件对下载文件进行实时监测与查杀,可直接防御该类木马入侵。

    环球彩票登陆 4

    近日,国外安全研究人员披露,著名压缩软件 WinRAR 被曝高危漏洞,目前全球已有超过 5 亿用户受到影响。

    (图:腾讯电脑管家全面拦截并查杀该病毒)

    图: 压缩文件将要解压的JS脚本

    黑客可利用该漏洞绕过权限提升直接运行 WinRAR,并将恶意文件放进 Windows 系统的启动文件夹中,只要用户重新开机恶意文件即自动运行,黑客便能 " 完全控制 " 受害者计算机。

    由于此次披露的WinRAR高危漏洞源于至今14年以来,未曾更新UNACEV2.dll的代码库,因此WinRAR 5.7之前的较低版本成为攻击者进行恶意传播的“主战场”。据了解,WinRAR高危漏洞的出现使得攻击者可根据已披露的漏洞信息,绕过系统权限,刻意构造ACE格式的攻击文件,诱导用户打开,实现WinRAR软件的直接运行,并可将恶意程序植入至Windows系统启动文件夹内,在电脑下次启动时,通过恶意软件实现对用户电脑的远程控制。

    图: 被释放到系统程序启动中

    2、在 WinRAR 的文件夹中删除 unacev2.dll

    此外,广大用户应尽快将WinRAR更新到最新版本,或者直接删除现有WinRAR安装目录下的UNACEV2.DLL文件,可有效防御攻击者入侵。腾讯电脑管家后续将密切关注“Lime-RAT”远控木马的相关进展动态,尽可能高效地为用户提供解决和防御方案。

    下载链接如下:

    环球彩票登陆 5

    (图:内藏Lime-RAT挖矿木马恶意压缩包)

    32位:

    只需要在压缩工具快捷方式的图标上点击鼠标右键,在弹出的菜单中选择 " 打开文件位置 " 即可跳转到压缩工具目录,将当前目录下的 unacev2.dll 文件手动删除即可。

    作为Windows平台一款简单而强大的远程木马,一旦Lime-RAT被触发,攻击者就可对用户电脑进行文件加密勒索、挖矿和下载其他恶意组件等远程操作,对用户信息安全造成极大危害。值得一提的是,Lime-RAT木马还可实现对剪切板的监视,当发现用户主机在进行数字货币交易时,通过替换钱包地址的方式达到“抢钱”的目的,对从事数字加密货币交易和比特币矿工人员来说构成严重威胁。

    C:Users<UserName>AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

    1、手动找到 WinRAR 的安装文件夹

    全球经典压缩包管理器——WinRAR被曝发现高危远程代码执行漏洞以来,这些高危漏洞已然成为不少网络攻击者“钻空作案”的“新宠”。近日,腾讯安全御见威胁情报中心监测发现,一款名为“Lime-RAT”的远控木马正通过WinRAR高危漏洞(CVE-2018-20250)进行恶意传播。该木马可通过修改配置信息或者接收远程指令,对中毒电脑实行远程控制,甚至还会监视用户的剪切板,在用户进行数字货币交易时实施“打劫”,给用户信息和财产安全构成极大威胁。

    环球彩票登陆 6

    腾讯电脑管家建议用户升级压缩软件到最新版本,或者删除压缩解压软件安装目录下的 unacev2.dll 文件。

    环球彩票登陆 7

    环球彩票登陆 8

    腾讯电脑管家刚刚也发布预警,安全专家验证,该漏洞不仅仅存在于 WinRAR 5.7 之前的版本,网民日常使用的 Bandizip、2345 压缩、好压、totalcmd 等软件均存在该风险。

    4、使用杀毒软件,定期查杀病毒。

    图: 瑞星ESM成功拦截截图

    图:删除unacev2.dll

    图: 解密后的JS代码

    环球彩票登陆 9

    该恶意文件会下载一款Orcus远控木马,其最大的特点在于能够加载开发者自定义的插件,并具有录音、键盘记录、密码窃取、远程控制桌面、监视进程、监控网络等恶意操作。这就意味着不仅用户的隐私信息会被攻击者窃取,而且电脑也会被攻击者远程控制。

    恶意文件通过钓鱼邮件、网址挂马等方式进行传播,当用户利用解压软件对其进行解压时,病毒会同时释放两个文件,而在用户端只能看到一个安全正常的文件。

    图: 安全无毒的文件

    环球彩票登陆 10

    另外一个文件是一个JS脚本,在系统的程序启动路径下释放。该脚本访问web网址下载远控木马到计算机,然后运行木马程序控制用户计算机。

    下载的程序是一款Orcus远控木马。Orcus并非是与TeamViewer相似的远控工具。Orcus最大的特点在于能够加载开发者自定义的插件。该款远控木马功能齐全,如:录音功能、键盘记录、密码窃取、远程桌面、进程管理、网络管理等。

    图: 经过混淆加密的JS代码

    64位:

    环球彩票登陆 11

    图:找到压缩程序文件位置

    环球彩票登陆 12

    环球彩票登陆 13

    环球彩票登陆 14

    瑞星安全专家提醒,用户应及时到压缩软件官网,下载并安装最新版本。谨防钓鱼邮件,不要轻易下载并解压可疑的压缩文件。安装杀毒软件,定期查杀病毒。目前,瑞星公司所有产品均可对病毒进行拦截。

    2、删除UNACEV2.dll代码库。

    对于压缩文件应先查看文件内容,不要盲目解压文件。如果发现压缩文件中包含本地磁盘类型时,那么这个文件就极有可能是病毒文件,不要轻易解压。

    找到压缩程序,右键打开文件位置。

    防御措施

    2019年2月21日,全球用户量最大的解压软件WinRAR被爆存在严重的代码执行漏洞CVE-2018-20250,漏洞遗留时间预计长达19年,可能将会有超过5亿的用户受到WinRAR漏洞影响。短短三天,瑞星便捕获到全国首个利用WinRAR最新漏洞CVE-2018-20250进行传播的.ace恶意文件。

    找到并删除unacev2.dll。

    环球彩票登陆 15

    病毒分析

    3、谨防钓鱼邮件,不要轻易下载并解压可疑的压缩文件。

    图: Orcus功能函数

    在程序启动路径中释放一个JS脚本文件。

    使用WinRAR的用户建议尽快将WinRAR升级至5.70 Beta 1。

    本文由环球彩票登陆发布于环球彩票登陆,转载请注明出处:瑞星成功截获国内首个利用WinRAR漏洞的远控木马

    关键词: 腾讯 漏洞 用户 压缩软件

上一篇:新零售——零售效能升高之道

下一篇:没有了