首页 > 安全资讯 > 正文

缠斗不休的 “驱动人生”下载器木马,还有没有未来?

  北京时间2月23日,360安全大脑监测发现利用“驱动人生”更新通道下发的挖矿木马再次更新。在此次更新中,木马的传播模块新增了MsSQL数据库弱口令爆破功能。截止目前,该木马的传播模块已经集成了“永恒之蓝“漏洞攻击、SMB爆破模攻击以及MsSQL爆破攻击三种攻击模式。

  对比木马更新前后传播模块代码可以看出,木马中新增了一组弱口令字典,该弱口令用于MsSQL数据库爆破,爆破成功后在目标计算机中添加一个名为“k8h3d”的帐户并植入后门,此外木马还将目标计算机MsSQL数据库的超级管理员密码设为“ksa8hd4,m@~#$%^&*()”。

                                                  图1 木马进行MsSQL爆破的部分代码

  木马总共使用72组弱口令对MsSQL数据库进行爆破,其中大部分复用了Mykings僵尸网络爆破MsSQL数据库时所使用的弱口令(详见:https://www.freebuf.com/articles/web/146393.html)。

                                                           图2 木马使用的部分弱口令

  在经历多次更新之后,通过“驱动人生”更新通道下发的挖矿木马已经构建了一个极为庞大的僵尸网络,并且该僵尸网络还在不断扩张中。图3展示了通过“驱动人生”更新通道下发的挖矿木马攻击趋势变化,不难看出当前该木马处于持续上升阶段,其构建的僵尸网络还在不断壮大中。

                               图3 通过“驱动人生”更新通道下发的挖矿木马攻击趋势变化

  防护建议

     1.       使用强度较高的系统登录密码与数据库登录密码;

     2.       及时修补系统漏洞;

     3.       360安全卫士可阻止该木马的攻击,建议广大用户及时下载安装360安全卫士保护计算机安全。


360安全卫士

热点排行

用户
反馈
返回
顶部