首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

墨者安全病毒预警:DDos攻击病毒cc3新变种复活

近日,墨者安全高防技术团队接到多个客户反映,墨者盾提示检测到主机服务器有病毒攻击,但通过一些杀毒软件排查却一无所获。墨者安全技术团队通过一系列的排查,最终确认是感染了Zegost病毒。此病毒从2011年开始活跃,至今已准8年了,是CC3病毒的新变种。

一、排查过程

通过对内存进行扫描发现主要有svchost.exe、rdpclip.exe两个进程关联。通过对rdpclip.exe的分析,发现其进程不与恶意域名进行通信。svchost.exe相关共有3个进程,ID分别是856、412和1372:

这3个进程内存中都存在恶意域名的信息,通过对856和412进程其它信息分析,没有任何发现。但在对1372进程分析时,发现其服务项存在着一个异常服务名。服务名称看上去很诡异(随机),通过服务项发现其启动项也很奇怪。在注册表中找到对应执行文件路径:“C:\ProgramData\Storm\update\%SESSIONNAME%\”,通过沙盒分析确定其为Zegost病毒,cc3的新变种。

二、入侵过程

通过对服务器排查,发现以下几个入侵点:

1、发现主机上有一款第三方的ftp软件,对应软件的历史和近期升级包都含变形病毒攻击(后门、蠕虫)。

2、通过对服务器的日志分析,发现其之前登录日志都已经被删除了,怀疑是攻击者入侵时删除的日志,存在远程桌面(RDP)、域控(NTLM)爆破的可能。

三、防御措施

1、不使用不安全的第三方软件,以防软件存在后门,主机被恶意控制。

2、主机定期更换安全性高的密码,并且密码要与地理信息、单位信息、个人信息无关。

3、及时备份重要文件,面对复杂互联网环境,经常备份以不变应万变。

4、不点击来源不明邮件以及附件。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181116A1CUVL00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券