&nb程式設計客棧sp; 2019 年 2 月 21 日,全球使用者量最大的解壓軟體winrar被爆存在嚴重的**執行漏洞cve-2018-20250,漏洞遺留時間預計長達 19 年,可能將會有超過 5 億的使用者受到winrar漏洞影響。短短三天,瑞星便捕獲到全國首個利用winrar最新漏洞cve-2018- 20250 進行傳播的.ace惡意檔案。
該惡意檔案會**一款orcus遠控木馬,其最大的特點在於能夠載入開發者自定義的外掛程式,並具有錄音、鍵盤記錄、密碼竊取、遠端控制桌面、監視程序、監控網路等惡意操作。這就意味著不僅使用者的隱私程式設計客棧資訊會被攻擊者竊取,而且電腦也會被攻擊者遠端控制。
瑞星安全專家提醒,使用者應及時到壓縮軟體官網,**並安裝最新版本。謹防釣魚郵件,不要輕易**並解壓可疑的壓縮檔案。安裝防毒軟體,定期查殺病毒。目前,瑞星公司所有產品均可對病毒進行攔截。
圖: 瑞星esm成功攔截截圖
病毒分析
惡意檔案通過釣魚郵件、**掛馬等方式進行傳播,當使用者利用解壓軟體對其進行解壓時,病毒會同時釋放兩個檔案,而在使用者端只能看到乙個安全正常的檔案。
圖: 程式設計客棧安全無毒的檔案
另外乙個檔案是乙個js指令碼,在系統的程式啟動路徑下釋放。該指令碼訪問web****遠控木馬到計算機,然後執行木馬程式控制使用者計算機。
在程式啟動路徑中釋放乙個js指令碼檔案。
c:\users\\appdata\roaming\microsoft\windows\start menu\programs\startup
圖: 壓縮檔案將要解壓的js指令碼
圖: 被釋放到系統程式啟動中
該js**經過混淆加密,對其進行解密後可以發現是乙個木馬**者。在「中**乙個木馬程式儲存到使用者計算機的「\%appdata%\stub.exe」。
圖: 經過混淆加密的js**
圖: 解密後的js**
**的程式www.cppcns.com是一款orcus遠控木馬。orcus並非是與teamviewer相似的遠控工具。orcus最大的特點在於能夠載入開發者自定義的外掛程式。該款遠控木馬功能齊全,如:錄音功能、鍵盤記錄、密碼竊取、遠端桌面、程序管理、網路管理等。
圖: orcus功能函式
防禦措施
1、訪問壓縮軟體官網,**並安裝最新版本。
使用winrar的使用者建議盡快將winrar公升級至5.70 beta 1。
**鏈結如下:
32 位:
64 位:
2、刪除unacev2.dll**庫。
找到壓縮程式,右鍵開啟檔案位置。
圖:找到壓縮程式檔案位置
找到並刪除unacev2.dll。
圖:刪除unacev2.dll
3、謹防釣魚郵件,不要輕易**並解壓可疑的壓縮檔案。
對於壓縮檔案應先檢視檔案內容,不要盲目解壓檔案。如果發現壓縮檔案中包含本地磁碟型別時,那麼這個檔案就極有可能是病毒檔案,不要輕易解壓。
圖:常規與可疑壓縮包對程式設計客棧比
4、使用防毒軟體,定期查殺病毒。
本文標題: 瑞星成功截獲國內首個利用winrar漏洞的遠控木馬
本文位址:
國內首個量子通訊網投入使用
規模化量子通訊網路30日在安徽合肥建成並投入使用,該網路現有46個節點,可為使用者提供高安全保障的實時語音 文字通訊及檔案傳輸等功能。作為新一代通訊技術,量子通訊基於量子資訊傳輸的高效和絕對安全性,成為近年來國際科研競爭中的焦點領域之一。合肥城域量子通訊試驗示範網於2010年7月啟動建設,投入經費6...
國內首個區塊鏈電子檔案平台上線
本報訊 融 中心記者田豔軍 6月9日是第13個國際檔案日,經開區舉行區塊鏈電子檔案上鏈儀式,作為國內首個基於區塊鏈技術面向中小微企業的電子會計檔案管理試點單位,東港瑞雲資料技術 以下簡稱 東港瑞雲 上線國內首個區塊鏈電子檔案平台,將從檔案資料管理角度出發,幫助中小微企業降本增效。這也是北京經開區繼去...
京東雲公布國內首個數智鄉村指數
鳳凰網科技訊 12月21日訊息,中國社會科學院財經戰略研究院 農業農村部資訊中心與京東科技聯合發布 數智鄉村 2021 首次深度闡述數智鄉村概念,並發布中國第乙個數智鄉程式設計客棧村指數diri digitalintelligent rural index 京東科技首次秀出jdt鄉村數智化解決方案,...