返回頂部
隐藏或顯示

新聞動态

News

已感染數萬設備!警惕ZombieBoy挖礦木馬傳播

/ 2019-07-15

近日,深信服安全團隊監測到一款名為ZombieBoy的木馬悄然感染了國内外多個行業的用戶主機。該木馬包含内網掃描、“永恒之藍”漏洞利用、“雙脈沖星”後門、挖礦工具等多個惡意模塊,是一款集傳播、遠控、挖礦功能為一體的混合型木馬。其結構類似于“MassMine”,由于釋放第一個惡意DLL文件時使用了一個名為ZombieBoy的工具,因此被命名為ZombieBoy挖礦木馬。

病毒名稱:ZombieBoy

病毒性質:挖礦木馬

影響範圍:目前已感染數萬台設備,涉及多行業

危害等級:高危

傳播方式:内網掃描、永恒之藍漏洞利用

病毒描述

ZombieBoy木馬最早出現于2017年底,2018年下旬,安全媒體報道被該木馬控制的主機多達七萬台。日前,經深信服安全雲腦數據監測發現,該木馬在各個行業中迅速擴散。其中,安全防護較為薄弱的企業成為感染的重災區,教育行業、政企單位等均受到不同程度的感染:

從深信服的雲腦監測數據來看,該木馬感染區域沒有明确的目标,全國各省以及國外用戶均存在感染現象,其中感染量TOP5區域分别為廣東省、浙江省、北京市、上海市、江西省。

感染現象

受感染的主機上出現了未知IP策略的明顯現象,該策略會将除了22.148.18.88之外連接445的IP全部阻止。

可疑IP地址查詢為一個美國IP。

搜索最新創建的TXT文件,能發現大量IP.TXT文件,是該木馬内網傳播模塊的日志文件:

出現執行木馬目錄下惡意文件的計劃任務:

windows目錄下創建一個5位随機字母的文件夾,并存在boy.exe木馬文件:

存在惡意挖礦進程:

WinEggDrop開源掃描器進程:

永恒之藍漏洞利用工具進程Cstrl.exe:

雙星脈沖後門植入工具進程chrome.exe:

解決方案

1.更新MS17-010漏洞補丁。

2.關閉業務上不需要的端口,如135、137、138、139、445等。

3.使用安全産品查殺木馬文件及進程,深信服EDR産品、下一代防火牆及安全感知平台等安全産品均具備病毒檢測能力,部署相關産品用戶可進行病毒檢測。

4.使用深信服安全産品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅。

5. 深信服為廣大個人用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載鍊接:

http://edr.juhua772874.cn/tool/SfabAntiBot_X64.7z

32位系統下載鍊接:

http://edr.juhua772874.cn/tool/SfabAntiBot_X86.7z

咨詢與服務

您可以通過以下方式聯系我們,獲取關于ZombieBoy挖礦木馬的免費咨詢及支持服務:

1)撥打電話400-630-6430轉6号線

2)關注【深信服技術服務】微信公衆号,選擇“智能服務”菜單,進行咨詢

3)PC端訪問深信服區 bbs.juhua772874.cn,選擇右側智能客服,進行咨詢

©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214号-5

粵公網安備

粵公網安備44030502002384号

http://m.juhua772874.cn|http://wap.juhua772874.cn|http://www.juhua772874.cn||http://juhua772874.cn