2019年2月21日,全球用户量最大的解压软件WinRAR被爆存在严重的代码执行漏洞CVE-2018-20250,漏洞遗留时间预计长达19年,可能将会有超过5亿的用户受到WinRAR漏洞影响。短短三天,瑞星便捕获到全国首个利用WinRAR最新漏洞CVE-2018-20250进行传播的.ace恶意文件。
该恶意文件会下载一款Orcus远控木马,其最大的特点在于能够加载开发者自定义的插件,并具有录音、键盘记录、密码窃取、远程控制桌面、监视进程、监控网络等恶意操作。这就意味着不仅用户的隐私信息会被攻击者窃取,而且电脑也会被攻击者远程控制。
瑞星安全专家提醒,用户应及时到压缩软件官网,下载并安装最新版本。谨防钓鱼邮件,不要轻易下载并解压可疑的压缩文件。安装杀毒软件,定期查杀病毒。目前,瑞星公司所有产品均可对病毒进行拦截。
图:瑞星ESM成功拦截截图
病毒分析
恶意文件通过钓鱼邮件、网址挂马等方式进行传播,当用户利用解压软件对其进行解压时,病毒会同时释放两个文件,而在用户端只能看到一个安全正常的文件。
图:安全无毒的文件
另外一个文件是一个JS脚本,在系统的程序启动路径下释放。该脚本访问web网址下载远控木马到计算机,然后运行木马程序控制用户计算机。
在程序启动路径中释放一个JS脚本文件。
C:\Users\\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup
图:压缩文件将要解压的JS脚本
图:被释放到系统程序启动中
该JS代码经过混淆加密,对其进行解密后可以发现是一个木马下载者。在“https://cdn.discordapp.com/attachments/332388559472295947/549167046764789760/stub.exe”中下载一个木马程序保存到用户计算机的“\%appdata%\stub.exe”。
图:经过混淆加密的JS代码
图:解密后的JS代码
下载的程序是一款Orcus远控木马。Orcus并非是与TeamViewer相似的远控工具。Orcus最大的特点在于能够加载开发者自定义的插件。该款远控木马功能齐全,如:录音功能、键盘记录、密码窃取、远程桌面、进程管理、网络管理等。
图: Orcus功能函数
防御措施
1、访问压缩软件官网,下载并安装最新版本。
使用WinRAR的用户建议尽快将WinRAR升级至5.70 Beta 1。
关键字:WINRAR 木马 漏洞
引用地址:
瑞星成功截获国内首个利用WinRAR漏洞的远控木马
推荐阅读最新更新时间:2024-03-16 11:32
Google一口气修补13个Android漏洞,包含7个重大漏洞
13个修补的安全漏洞中有7个被列为“重大”(Critical)等级,3个与Wi-Fi驱动程式有关之外,其他4个分别存在于Mediaserver、高通(Qualcomm)效能模组与Debugger Daemon中。
Google于周一(2/1)更新Android平台,修补了13个安全漏洞,包含7个重大等级漏洞,其中3个漏洞涉及Wi-Fi功能,可能导致权限扩张或远端程式攻击。
在13个安全漏洞中有7个被列为“重大”(Critical)等级,除了3个与Wi-Fi驱动程式有关之外,其他4个分别存在于Mediaserver、高通(Qualcomm)效能模组与Debugger Daemon中。
3个与Wi-Fi有关
[手机便携]
Fortinet:Zitmo木马程式开始威胁Android装置
UTM解决方案与网路安全供应商 Fortinet 新公布的7月网路威胁概况月报显示,新型的Zitmo (Zeus in the mobile) 木马程式已能感染 Android 作业系统,而不仅止于 Windows Mobile 、 Symbian 和 BlackBerry ,目前此恶意软体已能跨多个行动平台持续扩散。 最早能感染 Symbian 作业系统的 Zitmo ,发现于2010年9月,改写来自俄国的商业付费软体 SMS Monitor Lite,适用于Symbian第3和第5版。自此Zitmo持续演化,现在则已有能力拦截银行用以确认登入的帐户使用者身份的双因素认证 (two-factor authenti
[手机便携]
Google本周将修补上百个Android漏洞,过半和高通元件有关
Google周一修补了22个漏洞,周五将再修补81个漏洞,其中约有2/3与Qualcomm 元件有关,这些漏洞包含远端程式攻击、本地端恶意程式执行任意程式等重大漏洞。
Google在本周宣布将分批修补Android上的安全漏洞,先于周一(8/1)修补22个安全漏洞,再于周五(8/5)修补81个安全漏洞,其中,预计于周五修补的漏洞有2/3与高通(Qualcomm)元件有关。
Google说明,采用两个安全修补等级(Security Patch Level)2016-08-01与2016-08-05是为了让Android合作夥伴能够更有弹性地优先修补可能影响所有Android装置的安全漏洞。
其中,已于周一
[手机便携]
解决所有车辆的CAN总线安全漏洞 UltraSoC推出CAN Sentinel
解决所有车辆的CAN总线中内在的安全漏洞 德国纽伦堡嵌入式世界大会和英国剑桥 – 2020年2月24日 UltraSoC 今日宣布推出CAN Sentinel,从而推动其汽车网络安全产品实现重要迈进。全新的知识产权(IP)在CAN总线中增加了一个亟需的基于硬件的安全层,CAN总线是汽车制造商和整车厂(OEM)所遵循的互连技术的全球性行业标准。UltraSoC的CAN Sentinel驻留在总线上,可以监测与车辆电子控制单元(ECU)之间的事务,识别可疑行为,防止恶意消息,并抑制攻击。 CAN Sentinel可以用户自定义的安全规则进行配置,从而提供保护以防范诸如框架欺骗等常见的漏洞利用手段,并且允许系统随着威胁态势的
[汽车电子]
国产x86处理器不受漏洞影响、性能惊人
最近英特尔公司因为X86处理器漏洞一事闹得焦头烂额,为了修补Meltown熔毁以及Spectre幽灵两个漏洞,英特尔接连推出了各种处理器微代码升级,不过这些代码虽然能修复X86漏洞,但是也带来不少新问题,除了会影响处理器性能之外,还有可能影响系统稳定性,比如重启次数增多等等。下面就随嵌入式小编一起来了解一下相关内容吧。 这次的两个漏洞几乎影响了所有现代处理器公司及产品,AMD、英特尔、ARM及苹果都不例外,不过国产处理器在这次的事件中受到什么影响了没? 目前来看国内的厂商如兆芯、飞腾、申威等公司纷纷表态称没有受到这些漏洞影响。 国产处理器中,上海兆芯是做X86架构处理器的,最近他们推出了KX-5000系列新一代处
[嵌入式]
Akamai发现API漏洞对全球公司和个人均具有很高的风险
Akamai发现API漏洞对全球公司和个人均具有很高的风险 Akamai的最新安全研究探讨了全球API安全状况;揭示了2020至2021年间的攻击流量趋势 2021年10月28日——负责保护和交付数字化体验且深受全球企业信赖的解决方案提供商阿卡迈技术公司(Akamai Technologies, Inc.,以下简称:Akamai)今天发布了最新研究报告,其中分析了与应用程序编程接口(API)有关的、不断变化的威胁态势。Gartner曾指出,API到2022年将成为使用最频繁的在线攻击向量。作为Akamai《互联网安全状况》系列报告中的最新一期报告,《API:与每个人息息相关的攻击》(API: The Attack Surf
[物联网]
黑客:智能手机漏洞多,想做什么做什么
间:2014年8月03日 06:57
索尔尼克(Mathew Solnik)说,他可以在不惊动用户或手机公司的情况下控制30英尺(约9米)外的一部手机,随后便能将其变成一个“即时话筒”,并浏览手机通讯录及其短信内容。 28岁的索尔尼克现任Accuvant Inc.安全顾问,该公司与世界500强企业和美国政府合作。索尔尼克说,黑客们想做什么就能做什么,如果他们想在他人的手机上安装《愤怒的小鸟》(Angry Birds),他们就能做到。 索尔尼克的黑客攻击能力凸显出网络安全的一个新前沿阵地——智能手机。 智能手机总是与互联网相连并且会不定期更新数据,其安全难以保障。智能手机储存有照片、联系人信息及聊天
[手机便携]
研究人员发现激光雷达传感器漏洞 会遭虚假信号欺骗
对自动驾驶汽车而言,最重要的是感知周围发生的事情。与人类驾驶员一样,自动驾驶汽车也需要即时决策的能力。目前,大多数自动驾驶汽车依靠多个传感器感知世界。大多数系统使用摄像头、雷达传感器和激光雷达传感器组合。车载计算机将这些数据融合在一起,形成对汽车周围情况的全面了解。没有这些数据,自动驾驶汽车就无法安全行驶。由于每个系统都可以检测其他系统,因此使用多个传感器系统的汽车性能更好,也更安全。但这些系统并非万无一失,简单地在交通标志上贴上标签,完全改变其含义,就可以欺骗摄像头感知系统。 (图片来源: theconversation.com ) 据外媒报道,密歇根大学 RobustNet 研 究小组与加州大学欧文分校的计算机科学家
[汽车电子]
图:瑞星ESM成功拦截截图
图:安全无毒的文件
图:压缩文件将要解压的JS脚本
图: Orcus功能函数
现代操作系统(原书第4版)
控制系统计算机辅助设计 — MATLAB语言与应用
京公网安备 11010802033920号