区块广播:

为了你的钱包安全,赶紧更新WinRAR!!!

fen_xiao副船长发布在 技术交流
 5486  28

转自腾讯御见威胁情报中心,大家为了安全起见,赶紧更新RAR吧

自WinRAR漏洞(CVE-2018-20250,系unacev2.dll代码库高危漏洞)曝光以来,许多恶意程序开始利用WinRAR漏洞进行传播。近日,腾讯御见威胁情报中心监控到攻击者正在利用该漏洞恶意传播Lime-RAT远控木马,该远控木马功能非常强大,通过修改配置信息或者接收远程指令,对中毒电脑实行远程控制。

若使用存在漏洞的压缩/解压软件(如WinRAR较低版本)打开攻击者刻意构造的压缩文件,系统就会被添加一个开机启动项,当电脑下次重启时,Lime-RAT远程控制木马就会运行。

该木马接受C2服务器(C&C的缩写,远程命令和控制服务器)指令,可以实现文件加密勒索、挖矿和下载其他恶意组件等功能。木马还会监视剪切板,当检测到受害者主机进行数字货币交易时,直接替换钱包地址达到抢钱目的,对比特币矿工及数字加密币交易的人群危害极大。

解决方案!!(必看)

1、将WinRAR更新到最新版本,下载地址:
32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe
64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
其他压缩软件的用户也应尽快将压缩工具升级到最新版本,避免遭遇漏洞攻击。

2、直接删除WinRAR安装目录下的UNACEV2.DLL文件,但会造成ACE文件无法使用(实际上大家可以完全放弃ace格式压缩文件,拥有ace格式专利的公司已经倒闭十多年了)。

3、开启腾讯电脑管家等杀毒软件的实时保护,防止遭遇可能的病毒攻击。

分析恶意压缩包

打开压缩包(扩展名),如下:
image.png

解压该压缩包,会释放恶意文件WinRAR.js到指定目录
image.png
WinRAR.js文件使用了多重代码混淆
image.png

解密后的部分关键代码如下所示:
image.png

WinRAR.js代码执行流程大致如下:

(1)设置启动项
(2)设置定时任务,每45分钟启动一次
(3)将WinRAR.js拷贝到Temp目录
(4)将一段混淆后的字符串写入注册表
(5)从注册表中读取该字符串,解混淆,得到一个PE文件(Lime-RAT远控木马),执行。

打赏信息
打赏者(2
打赏数量(+502
打赏理由
打赏时间
Linkea
+500
爆料有奖!
2019-03-09 21:08:15
adasdrs3623
+2
多谢楼主提醒
2019-03-09 21:33:34
本主题由 Linkea 于 2019-03-12 16:07:52 设置高亮
  • 正序
  • 最新
只看帖主楼层直达
  • 1
  • 2
登录 账号发表你的看法,还没有账号?立即免费 注册