瑞星成功截获国内首个利用WinRAR漏洞的远控木马 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛企业产品讨论区 瑞星ESM防病毒终端安全防护系统瑞星成功截获国内首个利用WinRAR漏洞的远控木马

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[产品资讯] 瑞星成功截获国内首个利用WinRAR漏洞的远控木马

麦青儿管理员帖子:17042 注册: 2004-03-26 来自:	发表于： 2019-02-26 10:38 \| 只看楼主短消息资料字号：小中大 1楼瑞星成功截获国内首个利用WinRAR漏洞的远控木马 2019年2月21日，全球用户量最大的解压软件WinRAR被爆存在严重的代码执行漏洞CVE-2018-20250，漏洞遗留时间预计长达19年，可能将会有超过5亿的用户受到WinRAR漏洞影响。短短三天，瑞星便捕获到全国首个利用WinRAR最新漏洞CVE-2018-20250进行传播的.ace恶意文件。该恶意文件会下载一款Orcus远控木马，其最大的特点在于能够加载开发者自定义的插件，并具有录音、键盘记录、密码窃取、远程控制桌面、监视进程、监控网络等恶意操作。这就意味着不仅用户的隐私信息会被攻击者窃取，而且电脑也会被攻击者远程控制。瑞星安全专家提醒，用户应及时到压缩软件官网，下载并安装最新版本。谨防钓鱼邮件，不要轻易下载并解压可疑的压缩文件。安装杀毒软件，定期查杀病毒。目前，瑞星公司所有产品均可对病毒进行拦截。图: 瑞星ESM成功拦截截图病毒分析恶意文件通过钓鱼邮件、网址挂马等方式进行传播，当用户利用解压软件对其进行解压时，病毒会同时释放两个文件，而在用户端只能看到一个安全正常的文件。图: 安全无毒的文件另外一个文件是一个JS脚本，在系统的程序启动路径下释放。该脚本访问web网址下载远控木马到计算机，然后运行木马程序控制用户计算机。在程序启动路径中释放一个JS脚本文件。 C:\Users\UserName\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 图: 压缩文件将要解压的JS脚本图: 被释放到系统程序启动中该JS代码经过混淆加密，对其进行解密后可以发现是一个木马下载者。在“https://cdn.discordapp.com/attac ... 6764789760/stub.exe”中下载一个木马程序保存到用户计算机的“\%appdata%\stub.exe”。图: 经过混淆加密的JS代码图: 解密后的JS代码下载的程序是一款Orcus远控木马。Orcus并非是与TeamViewer相似的远控工具。Orcus最大的特点在于能够加载开发者自定义的插件。该款远控木马功能齐全，如：录音功能、键盘记录、密码窃取、远程桌面、进程管理、网络管理等。图: Orcus功能函数防御措施 1、访问压缩软件官网，下载并安装最新版本。使用WinRAR的用户建议尽快将WinRAR升级至5.70 Beta 1。下载链接如下: 32位：http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe 64位：http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe 2、删除UNACEV2.dll代码库。找到压缩程序，右键打开文件位置。图：找到压缩程序文件位置找到并删除unacev2.dll。图：删除unacev2.dll 3、谨防钓鱼邮件，不要轻易下载并解压可疑的压缩文件。对于压缩文件应先查看文件内容，不要盲目解压文件。如果发现压缩文件中包含本地磁盘类型时，那么这个文件就极有可能是病毒文件，不要轻易解压。图：常规与可疑压缩包对比 4、使用杀毒软件，定期查杀病毒。麦青儿最后编辑于 2019-02-26 10:48:50
麦青儿管理员帖子:17042 注册: 2004-03-26 来自:	分享到：

wemadefox 卡卡反病毒小组帖子:1118 注册: 2010-11-02 来自:	发表于： 2019-02-26 10:58 \| 短消息资料字号：小中大 2楼回复：瑞星成功截获国内首个利用WinRAR漏洞的远控木马我们公司网管也发了
wemadefox 卡卡反病毒小组帖子:1118 注册: 2010-11-02 来自:

过客2007 版主帖子:16652 注册: 2006-10-18 来自:¤懒神↗之家￡	发表于： 2019-02-27 15:03 \| 短消息资料字号：小中大 3楼回复：瑞星成功截获国内首个利用WinRAR漏洞的远控木马弱弱的问一下，zip影响吗？传说在很远的古代，一个庙里，有一个大神与一个小鬼住在里面。天下了大雨，庙前的河里长了水。来了一个人，过不了河，就把庙里的大神搬了出去，丢在河里，然后他踏在大神的身上，飞跳了过河。等会又来了
过客2007 版主帖子:16652 注册: 2006-10-18 来自:¤懒神↗之家￡

dongwenqi850604 快乐黄口狮帖子:184 注册: 2016-06-24 来自:	发表于： 2019-02-27 19:32 \| 短消息资料字号：小中大 4楼回复：瑞星成功截获国内首个利用WinRAR漏洞的远控木马感谢瑞星告知，支持瑞星
dongwenqi850604 快乐黄口狮帖子:184 注册: 2016-06-24 来自:

麦青儿管理员帖子:17042 注册: 2004-03-26 来自:	发表于： 2019-02-28 17:28 \| 只看楼主短消息资料字号：小中大 5楼回复: 瑞星成功截获国内首个利用WinRAR漏洞的远控木马引用: 原帖由过客2007 于 2019-2-27 15:03:00 发表弱弱的问一下，zip影响吗？啥意思？防范办法见一楼
麦青儿管理员帖子:17042 注册: 2004-03-26 来自:

麦青儿管理员帖子:17042 注册: 2004-03-26 来自:	发表于： 2019-02-28 17:29 \| 只看楼主短消息资料字号：小中大 6楼回复: 瑞星成功截获国内首个利用WinRAR漏洞的远控木马引用: 原帖由 dongwenqi850604 于 2019-2-27 19:32:00 发表感谢瑞星告知，支持瑞星老这么客气
麦青儿管理员帖子:17042 注册: 2004-03-26 来自:

麦青儿管理员帖子:17042 注册: 2004-03-26 来自:	发表于： 2019-02-28 17:31 \| 只看楼主短消息资料字号：小中大 7楼回复: 瑞星成功截获国内首个利用WinRAR漏洞的远控木马引用: 原帖由 wemadefox 于 2019-2-26 10:58:00 发表我们公司网管也发了你们网管挺负责
麦青儿管理员帖子:17042 注册: 2004-03-26 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT