曾利用“驱动人生”软件传播的木马程序重新使用EXE文件攻击方式

2020年7月14日,我国安全厂商腾讯公司发布报告,称曾利用“驱动人生”软件传播的木马程序近期再次更新,新变种利用Python代码打包的EXE可执行文件进行攻击,最终在失陷系统中下载运行挖矿木马。 报告称,该木马程序最初于2018年底使用EXE攻击方式,之后逐步过渡为利用Powershell脚本实现无文件攻击。此次更新中,攻击者再次将“永恒之蓝”漏洞利用攻击、MsSQL弱口令爆破攻击、IPC$弱口令爆破攻击和SMB爆破攻击的代码重新添加至EXE攻击文件中,并对原有Powershell中一部分相关功能代码进行屏蔽,保留了部分功能。该木马自发现至今持续更新,期间不断增加其传播途径和攻击手段,对其功能进行扩展,此次更新又特别针对攻击模块进行分割,目前已具有很强的传播能力和攻击性。建议我国广大用户增强网络安全防范意识,确保安装并检查杀毒软件状态,保持实时监控功能和病毒特征库更新;切勿打开具有迷惑性的邮件及其附件;检查并确认安装“永恒之蓝”漏洞补丁以及RDP漏洞(CVE-2019-0708)补丁;对外部网络关闭445、135、137、139等端口及不必要的网络服务;同时,将服务器密码改为高强度密码,避免黑客针对弱口令进行暴力破解。