11月5日(今天)规则包紧急更新的说明【公告】
从11月3日晚上21:00开始,我们在网络安全监控中发现出现直接指向IP-A段的流量异常,通过搜集和截取来的资料(样本)分析,发现有一个不明代码([]{}>9000 8000 6000-6002\\UDP 0201 11 45 45 22 0000 ab bbb cd a ff tt a\c ufs hsn ---++ccc00011)正在网络里扩散!
我将这个代码放到测试系统里运行后,分析出程序中很多代码都是多层加密的,采用二进制和十六进制,偏移量也很不稳定,能体现出来的只是对UDP9000、8000、6000-6002端口的出入,但这只是很小一部分的端口出入,我怀疑是采用系统补丁的编程格式,象是最新的反弹木马和间谍程序,目前我还没有发现有防火墙能够拦截,包括ZA,在网络里也没有这个不明木马资料(消息)的显示!事实表明不是一般的黑客写的,鉴于这个不明木马的核心文件名不固定,现在最好的方式是加载最新的规则包,提前预防,如果已经感染了,规则包就能够拦截,就可以通过报警,找到程序所在位置和生成的文件名,直接删除!(经测试,如果没有加载最新规则包,即使在驱动盘下的system32找到了也是删除不了的!!!)
危害: 在后门对被感染系统关键信息的传送完毕后,直接到驱动盘删除引导程序,导致系统瘫痪!
所以大家要乘着还没有大面积出现赶快预防。
目前,我已将相关情况上报有关部门!
