返回顶部
售後咨詢

售後咨詢

隐藏或显示

新聞動態

News

已感染數萬設備!警惕ZombieBoy挖礦木馬傳播

/ 2019-07-15

近日,凯发APP下载安全團隊監測到一款名爲ZombieBoy的木馬悄然感染了國內外多個行業的用戶主機。該木馬包含內網掃描、“永恒之藍”漏洞利用、“雙脈沖星”後門、挖礦工具等多個惡意模塊,是一款集傳播、遠控、挖礦功能爲一體的混合型木馬。其結構類似于“MassMine”,由于釋放第一個惡意DLL文件時使用了一個名爲ZombieBoy的工具,因此被命名爲ZombieBoy挖礦木馬。

病毒名稱:ZombieBoy

病毒性質:挖礦木馬

影響範圍:目前已感染數萬台設備,涉及多行業

危害等級:高危

傳播方式:內網掃描、永恒之藍漏洞利用

病毒描述

ZombieBoy木馬最早出現于2017年底,2018年下旬,安全媒體報道被該木馬控制的主機多達七萬台。日前,經凯发APP下载安全雲腦數據監測發現,該木馬在各個行業中迅速擴散。其中,安全防護較爲薄弱的企業成爲感染的重災區,教育行業、政企單位等均受到不同程度的感染:

從凯发APP下载的雲腦監測數據來看,該木馬感染區域沒有明確的目標,全國各省以及國外用戶均存在感染現象,其中感染量TOP5區域分別爲廣東省、浙江省、北京市、上海市、江西省。

感染現象

受感染的主機上出現了未知IP策略的明顯現象,該策略會將除了22.148.18.88之外連接445的IP全部阻止。

可疑IP地址查詢爲一個美國IP。

搜索最新創建的TXT文件,能發現大量IP.TXT文件,是該木馬內網傳播模塊的日志文件:

出現執行木馬目錄下惡意文件的計劃任務:

windows目錄下創建一個5位隨機字母的文件夾,並存在boy.exe木馬文件:

存在惡意挖礦進程:

WinEggDrop開源掃描器進程:

永恒之藍漏洞利用工具进程Cstrl.exe:

雙星脈沖後門植入工具進程chrome.exe:

解決方案

1.更新MS17-010漏洞補丁。

2.關閉業務上不需要的端口,如135、137、138、139、445等。

3.使用安全産品查杀木马文件及进程,凯发APP下载EDR産品、下一代防火墙及安全感知平台等安全産品均具备病毒检测能力,部署相关産品用户可进行病毒检测。

4.使用凯发APP下载安全産品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

5. 凯发APP下载爲廣大個人用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

咨詢與服務

您可以通过以下方式聯系我們,获取关于ZombieBoy挖礦木馬的免費咨詢及支持服務:

1)撥打電話400-630-6430轉6號線

2)關注【凯发APP下载技術服務】微信公衆號,選擇“智能服務”菜單,進行咨詢

3)PC端訪問凯发APP下载區 bbs.sangfor.com.cn,選擇右側智能客服,進行咨詢

©2000-2019    凯发APP下载科技股份有限公司    版权所有    粵ICP備08126214號-5

粤公网安备

粵公網安備44030502002384號