12月14日下午开始,互联网上出现了一款利用“驱动人生”升级通道,并同时利用永恒系列高危漏洞传播的木马突发事件,存在一定网络安全风险隐患。我中心立即启动应急机制,对此事件开展监测分析工作。
一、 “驱动人生”木马程序基本情况
综合CNCERT和国内网络安全企业(腾讯公司、360公司)已获知的样本情况和分析结果,驱动人生旗下的“人生日历”等软件,通过其升级组件dtlupg.exe,开始下发执行木马程序F79CB9D2893B254CC75DFB7F3E454A69.exe。该木马程序具备远程执行代码功能,启动后会将用户计算机的详细信息发往木马服务器控制端,并接收远程指令执行下一步操作。此外,该木马还携带有永恒之蓝漏洞攻击组件,可利用该漏洞攻击局域网与互联网其他机器,进行传播扩散。
据深圳市驱动人生科技股份有限公司于12月15日发布的声明所述,该公司部分老版本升级组件代码漏洞被恶意攻击,导致了此次木马传播事件的发生。
二、 感染情况
CNCERT持续对“驱动人生”木马程序进行监测,截至12月15日17时,累计发现境内下载该木马程序的主机为9.9万余台,其中广东、江苏、北京等省受影响主机数量较多。木马程序所在的下载端IP有3个,均位于境外。境内主机下载该木马程序的时间段为14日14时16分至15日14时26分,集中爆发于14日18时左右。15日14时26分至17时期间,并未监测到下载情况。目前,该下载端URL链接已失效。
同时,CNCERT对木马程序控制端IP进行分析发现,“驱动人生”木马程序控制端地址为6个,控制端IP地址均位于境外。截至12月15日17时,累计发现境内共有2.1万余台被控主机上线并连接控制端。
三、 处置防范建议
(一)驱动人生老版本用户应手动更新升级版本。
(二)安装并及时更新杀毒安全软件。
(三)做好相关重要数据备份工作。
(四)关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口。
(五)服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解。
(六)可安装腾讯电脑管家或360安全卫士等安全软件进行此类木马程序的查杀。
声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。