哪个杀毒软件能杀内核级木马(瑞星成功截获国内首个利用WinRAR漏洞的远控木马)

2019年2月21日,全球用户量最大的解压软件WinRAR被爆存在严重的代码执行漏洞CVE-2018-20250,漏洞遗留时间预计长达19年,可能将会有超过5亿的用户受到WinRAR漏洞影响。短短三天,瑞星便捕获到全国首个利用WinRAR最新漏洞CVE-2018-20250进行传播的.ace恶意文件。

该恶意文件会下载一款Orcus远控木马,其最大的特点在于能够加载开发者自定义的插件,并具有录音、键盘记录、密码窃取、远程控制桌面、监视进程、监控网络等恶意操作。这就意味着不仅用户的隐私信息会被攻击者窃取,而且电脑也会被攻击者远程控制。

瑞星安全专家提醒,用户应及时到压缩软件官网,下载并安装最新版本。谨防钓鱼邮件,不要轻易下载并解压可疑的压缩文件。安装杀毒软件,定期查杀病毒。目前,瑞星公司所有产品均可对病毒进行拦截。

哪个杀毒软件能杀内核级木马(瑞星成功截获国内首个利用WinRAR漏洞的远控木马)(1)

​ 图: 瑞星ESM成功拦截截图

病毒分析

恶意文件通过钓鱼邮件、网址挂马等方式进行传播,当用户利用解压软件对其进行解压时,病毒会同时释放两个文件,而在用户端只能看到一个安全正常的文件。

哪个杀毒软件能杀内核级木马(瑞星成功截获国内首个利用WinRAR漏洞的远控木马)(2)

​ 图: 安全无毒的文件

另外一个文件是一个JS脚本,在系统的程序启动路径下释放。该脚本访问web网址下载远控木马到计算机,然后运行木马程序控制用户计算机。

在程序启动路径中释放一个JS脚本文件。

C:Users<UserName>AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

哪个杀毒软件能杀内核级木马(瑞星成功截获国内首个利用WinRAR漏洞的远控木马)(3)

图: 压缩文件将要解压的JS脚本

哪个杀毒软件能杀内核级木马(瑞星成功截获国内首个利用WinRAR漏洞的远控木马)(4)

​ 图: 被释放到系统程序启动中

该JS代码经过混淆加密,对其进行解密后可以发现是一个木马下载者。在下载一个木马程序保存到用户计算机的“%appdata%stub.exe”。

哪个杀毒软件能杀内核级木马(瑞星成功截获国内首个利用WinRAR漏洞的远控木马)(5)

图: 经过混淆加密的JS代码

​​

哪个杀毒软件能杀内核级木马(瑞星成功截获国内首个利用WinRAR漏洞的远控木马)(6)

图: 解密后的JS代码

下载的程序是一款Orcus远控木马。Orcus并非是与TeamViewer相似的远控工具。Orcus最大的特点在于能够加载开发者自定义的插件。该款远控木马功能齐全,如:录音功能、键盘记录、密码窃取、远程桌面、进程管理、网络管理等。

哪个杀毒软件能杀内核级木马(瑞星成功截获国内首个利用WinRAR漏洞的远控木马)(7)

​ 图: Orcus功能函数

防御措施

1、访问压缩软件官网,下载并安装最新版本。

使用WinRAR的用户建议尽快将WinRAR升级至5.70 Beta 1。

下载链接如下:

32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2、删除UNACEV2.dll代码库。

找到压缩程序,右键打开文件位置。

哪个杀毒软件能杀内核级木马(瑞星成功截获国内首个利用WinRAR漏洞的远控木马)(8)

图:找到压缩程序文件位置

找到并删除unacev2.dll。

哪个杀毒软件能杀内核级木马(瑞星成功截获国内首个利用WinRAR漏洞的远控木马)(9)

​ 图:删除unacev2.dll

3、谨防钓鱼邮件,不要轻易下载并解压可疑的压缩文件。

对于压缩文件应先查看文件内容,不要盲目解压文件。如果发现压缩文件中包含本地磁盘类型时,那么这个文件就极有可能是病毒文件,不要轻易解压。

哪个杀毒软件能杀内核级木马(瑞星成功截获国内首个利用WinRAR漏洞的远控木马)(10)

​ 图:常规与可疑压缩包对比

4、使用杀毒软件,定期查杀病毒。

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页