病毒、钓鱼网站、P2P投资陷阱等针对网友钱包的恶意攻击层出不穷,且时不时换个花样忽悠。本栏目专门扒皮,教大家保卫自己的钱包!微博求助:http://weibo.com/cdx1983。
超人、钢铁侠、乔峰、郭靖……这些是大家心中的英雄,而一些自诩为“英雄”的人反而是坏人,这不,一个名为BlueHero的蠕虫病毒最近风头很盛,如果光看名字以为是“蓝天英雄”,却不知道它是一个臭名昭著的挖矿病毒——BlueHero蠕虫病毒之前是永恒之蓝漏洞在企业局域网内传播,再利用中毒电脑组网挖门罗币,你没有看错是永恒之蓝漏洞,是那个去年被WannaCry利用轰动全球的漏洞,虽然大多数用户已经修复了此漏洞,但是还有一部分未修复漏洞的用户面临被攻击的危险。
BuleHero蠕虫病毒有以下特点:创建开机启动项;关闭Windows系统的防火墙;病毒下载器进程名为Scvsots.exe,与系统正常进程名Svchost.exe相仿,Scvsots.exe进程下载一个Cfg.ini文件,这个Cfg.ini文件中存放着矿池地址和门罗币钱包信息;释放矿机taskmgr.exe到 C:\Windows\Temp\Networks 文件夹下,计划启动进行挖矿;释放网络扫描工具,在局域网内探测可以攻击传播的IP地址段;利用弱密码字典,在局域网内进行SQL Server1433端口爆破和IPC$远程连接爆破攻击;利用永恒之蓝漏洞攻击包及多个服务器组件相关漏洞在局域网内攻击传播。
不过,BuleHero蠕虫病毒的传播速度不快,毕竟永恒之蓝漏洞比较老了,这不最新的变种出现了,利用的是LNK漏洞(CVE-2017-8464,也被称为震网三代)快速扩散。大名鼎鼎的震网病毒大家还记得吗?美国情报机构炮制了该病毒,并将病毒偷偷植入伊朗核设施的局域网内,通过修改参数让离心机损坏从而达到了破坏伊朗核计划的目的,震网病毒利用的漏洞也被称为震网漏洞,LNK漏洞是最新的震网三代病毒使用的漏洞,黑客利用漏洞可以构造一个特制的快捷方式文件(LNK文件),通过LNK文件来执行恶意代码,也就是黑客将文件通过QQ群或者微信群传播,用户下载后文件被保存在某个文件夹中,用户打开资源管理器,看一眼文件夹就会中毒,而无须双击运行,是的,不需要运行文件,看一眼就中毒了——病毒会在电脑的每个磁盘的根目录创建一个恶意LNK文件,再利用漏洞加载的方式实现长期反复感染的目的,如果没有找出所有的恶意文件,病毒就无法被彻底清除。
BuleHero变种的威力更大了,且主要目标是企业用户,一旦企业局域网中的共享目录被病毒感染,任何访问该共享目录又存在漏洞的电脑都会被病毒感染,如此一来就会加快BlueHero的扩散速度,造成企业局域网的大面积中毒,而病毒最终进行的挖矿行为会严重消耗企业的网络资源,最终导致局域网不堪重负出现崩溃。
@董师傅:BlueHero蠕虫病毒这段时间兴风作浪,在2018.8.9~2018.8.20平均每天收益约0.77个门罗币,虽然数量还不多但增速很快,值得我们高度警惕。
安全周报
这段时间,互联网上依然出现大量漏洞、被病毒感染的电脑和被黑客攻击的网站。本周比较受关注的是英特尔芯片的“预兆”漏洞,这是继2018年初发现“熔断”和“幽灵”之后,英特尔芯片曝光的第三个重要漏洞。利用“预兆”漏洞,黑客可以获取一个内存中的任意信息,包括敏感的密码和密钥。
数据来自国家互联网应急中心
本周,全球黑客攻击保持高频状态,影响较大的有:
1.白帽黑客发现网络上有数千万台传真机存在安全危险,黑客给这些传真机发送一个携带恶意代码的图片文件,就可以入侵传真机的存储器,从而达到控制的目的。
2.在美国拉斯维加斯的DefCon大會上,黑客展示了一台改造后的亚马逊Echo,并利用这台亚马逊Echo入侵局域网内其他正常的亚马逊Echo。
3.美国佛罗里达州一名11岁天才黑客演示了如何在10分钟内入侵佛罗里达州选举结果网站,并更改了计票结果,所幸这次攻击是模拟的,没有造成实际的影响。