2017每期精准一尾中特
  • 首页 > 新闻频道 > 即时新闻

    瑞星成功截获国内首个利用WinRAR漏洞的远控木马

    2019年02月26日 09:43:07   来源:中文科资讯技

      2019年2月21日,全球用户量最大的解压软件WinRAR被爆存在?#29616;?#30340;代码执行漏洞CVE-2018-20250,漏洞遗留时间预计长达19年,可能将会有超过5亿的用户受到WinRAR漏洞影响。短短三天,瑞星便捕获到全国首个利用WinRAR最新漏洞CVE-2018-20250进行传播的.ace恶意文件。9Qc中文科技资讯

      该恶意文件会下载一款Orcus远控木马,其最大的特点在于能够加载开发者?#36828;?#20041;的插件,并具?#26032;家簟?#38190;盘记录、密码窃取、远程控制桌面、监视进程、监控网络等恶意操作。这就意味着不仅用户的隐私信息会?#36824;?#20987;者窃取,而?#19994;?#33041;也会?#36824;?#20987;者远程控制。9Qc中文科技资讯

      瑞星安全专家提醒,用户应及时到压缩软件官网,下载并安装最新版本。谨防钓鱼邮件,不要轻易下载并解压可疑的压缩文件。安装杀毒软件,定期查杀病毒。目前,瑞星公司所有产品均可对病毒进行拦截。9Qc中文科技资讯

    9Qc中文科技资讯

      图: 瑞星ESM成功拦截截图9Qc中文科技资讯

      病毒分析9Qc中文科技资讯

      恶意文件通过钓鱼邮件、网址挂马等方式进行传播,当用户利用解压软件对其进行解压时,病毒会同时?#22836;?#20004;个文件,而在用户端只能看到一个安全正常的文件。9Qc中文科技资讯

    9Qc中文科技资讯

      图: 安全无毒的文件9Qc中文科技资讯

      另外一个文件是一个JS脚本,在系统的程序启动路径下?#22836;擰?#35813;脚本访问web网址下载远控木马到计算机,然后运行木马程序控制用户计算机。9Qc中文科技资讯

      在程序启动路径中?#22836;?#19968;个JS脚本文件。9Qc中文科技资讯

      C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup9Qc中文科技资讯

    9Qc中文科技资讯

      图: 压缩文件将要解压的JS脚本9Qc中文科技资讯

    9Qc中文科技资讯

      图: 被?#22836;诺?#31995;统程序启动中9Qc中文科技资讯

      该JS代码经过混淆?#29992;埽?#23545;其进行解密后可以发现是一个木马下载者。在“https://cdn.discordapp.com/attachments/332388559472295947/549167046764789760/stub.exe”中下载一个木马程序保存到用户计算机的“\%appdata%\stub.exe”。9Qc中文科技资讯

    9Qc中文科技资讯

      图: 经过混淆?#29992;?#30340;JS代码9Qc中文科技资讯

    9Qc中文科技资讯

      图: 解密后的JS代码9Qc中文科技资讯

      下载的程序是一款Orcus远控木马。Orcus并非是与TeamViewer相似的远控工具。Orcus最大的特点在于能够加载开发者?#36828;?#20041;的插件。该款远控木马功能齐全,如:?#23478;?#21151;能、键盘记录、密码窃取、远程桌面、进程管理、网络管理?#21462;?span style="display:none">9Qc中文科技资讯

    9Qc中文科技资讯

      图: Orcus功能函数9Qc中文科技资讯

      防御措施9Qc中文科技资讯

      1、访问压缩软件官网,下载并安装最新版本。9Qc中文科技资讯

      使用WinRAR的用户建议尽快将WinRAR升级至5.70 Beta 1。9Qc中文科技资讯

      下载链接如下:9Qc中文科技资讯

      32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe9Qc中文科技资讯

      64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe9Qc中文科技资讯

      2、删除UNACEV2.dll代码库。9Qc中文科技资讯

      ?#19994;?#21387;缩程序,右键打开文件位置。9Qc中文科技资讯

    9Qc中文科技资讯

      图:?#19994;?#21387;缩程序文件位置9Qc中文科技资讯

      ?#19994;?#24182;删除unacev2.dll。9Qc中文科技资讯

    9Qc中文科技资讯

      图:删除unacev2.dll9Qc中文科技资讯

      3、谨防钓鱼邮件,不要轻易下载并解压可疑的压缩文件。9Qc中文科技资讯

      对于压缩文件应先查看文件内容,不要盲目解压文件。如果发现压缩文件中包含本地磁盘类型时,那么这个文件?#22270;?#26377;可能是病毒文件,不要轻易解压。9Qc中文科技资讯

    9Qc中文科技资讯

      图?#25788;?#35268;与可疑压缩包?#21592;?span style="display:none">9Qc中文科技资讯

      4、使用杀毒软件,定期查杀病毒。9Qc中文科技资讯

      来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

      如发现本站文章存在问题,提供版权疑问、身份证明、版权证明、联系方式等发邮件至[email protected]

    推荐

    新闻

    特斯拉发布首份影响力报告:帮助防止了400万吨二氧化

    4月16?#38556;?#24687;,据国外媒体报道,当地时间周一,特斯拉发布了该公司有史以来第一份“影响力报告”(Impact Report),该报告衡量并量化了该公司的产品和运营对环境及社区的影响。

    互联网+

    特斯拉已开始交付3.5万美元版Model 3 首批幸运者确认

    4月16?#38556;?#24687;,据国外媒体报道,电动汽车厂商特斯拉在2016年3月底推出了廉价电动汽车Model 3,并在2017年开始向用户交付,但售价最低的标准续航版Model 3,却迟迟未能送到消费者手中,预订者们对这一版本的Model 3也是期待已久。

    融合

    日本?#39057;?#35299;雇机器人员工,AI想抢人类?#38599;?#27809;那么容易

     2018年年初,日本东京一家名为“Henn-na Hotel”的?#39057;輟?#35831;”了243个机器人负责管理与服务。顾客从入住到离店,全程都由机器人引导与陪伴,在当时还引起了不小的轰动。然而时?#20004;?#26085;不过一年时间,这家?#39057;?#21364;选择了对机器人?#23433;?#21592;?#20445;?#35299;?#22303;?#19968;半的机器人。其中最主要的原因是,自?#21360;?#38599;用”了这些机器人员工之后,它们给?#39057;?#21046;造出的问题远远超过它们能够解决的问题。

    创投

    从1700亿跌到67亿,乐视网最后一天:9亿资金赌明天

     从2010年上市,到成为创业板“一哥?#20445;?#20973;借眼花?#26376;?#30340;“生态化反?#20445;?#20048;视网在?#26102;?#24066;场?#31995;?#36896;了一个又一个神话,其市值更是一度高达1700亿。

    2017每期精准一尾中特 幸运农场开奖结果查询 江西时时彩怎么停的 彩客网是正规网站吗 1zplay电竞比分 手游棋牌代理平台 中国篮球队 体彩p5出号走势图 现金棋牌注册送3金币 中国体育彩票超级大乐透投注 三分彩计划全天