“驱动人生木马”背后黑手又升级：新增无文件攻击

　　3月10日消息，腾讯御见威胁情报中心在近日发现，曾利用驱动人生公司升级渠道，2个小时攻击10万用户的高危木马下载器“永恒之蓝”再度升级更新。

　　据悉，此次更新在于攻击模块，攻击模块不再由此前植入的母体PE文件进行释放，而是转为由感染后机器上安装的Powershell后门进行下载。

　　腾讯御见威胁情报中心分析发现，新启用的PE攻击模块下载地址同时还兼做Powshell脚本攻击模块的下载，能够导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。

　　针对此，腾讯御见威胁情报中心建议企业用户服务器暂时关闭不必要的端口(如135、139、445);使用高强度密码，切勿使用弱口令; 使用杀毒软件拦截可能的病毒攻击。

　　在上一次的安全事件当中，“永恒之蓝”木马下载器利用“驱动人生”、“人生日历”等软件最早开始传播，约30%通过“永恒之蓝”漏洞进行自传播，入侵用户机器后，会下载执行云控木马，并利用“永恒之蓝”漏洞在局域网内进行主动扩散。

　　当时，病毒作者可通过云端控制中毒电脑并收集电脑部分信息，中毒电脑会在云端指令下进行门罗币挖矿。

相关阅读