曾利用“驱动人生”软件传播的木马程序重新使用EXE文件攻击方式

2020年7月14日，我国安全厂商腾讯公司发布报告，称曾利用“驱动人生”软件传播的木马程序近期再次更新，新变种利用Python代码打包的EXE可执行文件进行攻击，最终在失陷系统中下载运行挖矿木马。 报告称，该木马程序最初于2018年底使用EXE攻击方式，之后逐步过渡为利用Powershell脚本实现无文件攻击。此次更新中，攻击者再次将“永恒之蓝”漏洞利用攻击、MsSQL弱口令爆破攻击、IPC$弱口令爆破攻击和SMB爆破攻击的代码重新添加至EXE攻击文件中，并对原有Powershell中一部分相关功能代码进行屏蔽，保留了部分功能。该木马自发现至今持续更新，期间不断增加其传播途径和攻击手段，对其功能进行扩展，此次更新又特别针对攻击模块进行分割，目前已具有很强的传播能力和攻击性。建议我国广大用户增强网络安全防范意识，确保安装并检查杀毒软件状态，保持实时监控功能和病毒特征库更新；切勿打开具有迷惑性的邮件及其附件；检查并确认安装“永恒之蓝”漏洞补丁以及RDP漏洞（CVE-2019-0708）补丁；对外部网络关闭445、135、137、139等端口及不必要的网络服务；同时，将服务器密码改为高强度密码，避免黑客针对弱口令进行暴力破解。