区块广播:
· ADA创始人:待加密市场经历优胜劣汰达到基层稳定时,加密货币ETF便会被批准
· 数据:昨天EOS DApp日活跃用户量创历史新高
· 巴比特媒体开放平台海盗号正式上线:让我们改变潮向,不止于头条
· A股区块链板块行情丨整体上涨0.99%
· 浙江省网信办网评处处长:建立建全相关法规是出于对区块链风险防范的需要
· 报告:6个月内Compound Finance加密货币抵押贷款发行总额接近900万美元
· 比特大陆发布蚂蚁矿机新品Z11,性能提升显著
· 中国人大法学院教授杨东谈科创板:监管部门可利用区块链等技术构建科技驱动型监管体系
· 分析:近期加密市场的反弹或由人民币推动
· 哈希图进入主流使用只是时间问题?Hedera CEO何来底气“大放厥词”
· 巴比特午间要闻一览
· 分析:近期加密市场的反弹或由人民币推动
· TradingView组件存在缺陷,多个交易所可被利用实施钓鱼攻击
· 日本交易所GMO Coin调查:超过一半的用户预计XRP将是今年上涨最多的币种
· 火币前高管臧成都等加入新加坡WBF数字资产交易所,全球豪华团队意打造全球前十交易所
· 报告:韩国加密货币场外交易规模约占交易总量的25%,达400亿美元
· Circle CEO Jeremy Allaire:加密货币业务下滑,但去年仍在增长
· 北航教授蔡维德:未来我们的金融秩序一定是共识机制、共识经济
· 巴比特《8问》| 北航教授蔡维德:你以为摩根大通只是发了币?
· 韩国政府机构发布“2018年韩国金融科技企业手册”,区块链和虚拟货币企业占比9%
· ADA创始人:待加密市场经历优胜劣汰达到基层稳定时,加密货币ETF便会被批准
· 数据:昨天EOS DApp日活跃用户量创历史新高
· 巴比特媒体开放平台海盗号正式上线:让我们改变潮向,不止于头条
· A股区块链板块行情丨整体上涨0.99%
· 浙江省网信办网评处处长:建立建全相关法规是出于对区块链风险防范的需要
· 报告:6个月内Compound Finance加密货币抵押贷款发行总额接近900万美元
· 比特大陆发布蚂蚁矿机新品Z11,性能提升显著
· 中国人大法学院教授杨东谈科创板:监管部门可利用区块链等技术构建科技驱动型监管体系
· 分析:近期加密市场的反弹或由人民币推动
· 哈希图进入主流使用只是时间问题?Hedera CEO何来底气“大放厥词”
· 巴比特午间要闻一览
· 分析:近期加密市场的反弹或由人民币推动
· TradingView组件存在缺陷,多个交易所可被利用实施钓鱼攻击
· 日本交易所GMO Coin调查:超过一半的用户预计XRP将是今年上涨最多的币种
· 火币前高管臧成都等加入新加坡WBF数字资产交易所,全球豪华团队意打造全球前十交易所
· 报告:韩国加密货币场外交易规模约占交易总量的25%,达400亿美元
· Circle CEO Jeremy Allaire:加密货币业务下滑,但去年仍在增长
· 北航教授蔡维德:未来我们的金融秩序一定是共识机制、共识经济
· 巴比特《8问》| 北航教授蔡维德:你以为摩根大通只是发了币?
· 韩国政府机构发布“2018年韩国金融科技企业手册”,区块链和虚拟货币企业占比9%
· ADA创始人:待加密市场经历优胜劣汰达到基层稳定时,加密货币ETF便会被批准
· 数据:昨天EOS DApp日活跃用户量创历史新高
· 巴比特媒体开放平台海盗号正式上线:让我们改变潮向,不止于头条
· A股区块链板块行情丨整体上涨0.99%
· 浙江省网信办网评处处长:建立建全相关法规是出于对区块链风险防范的需要
· 报告:6个月内Compound Finance加密货币抵押贷款发行总额接近900万美元
· 比特大陆发布蚂蚁矿机新品Z11,性能提升显著
· 中国人大法学院教授杨东谈科创板:监管部门可利用区块链等技术构建科技驱动型监管体系
· 分析:近期加密市场的反弹或由人民币推动
· 哈希图进入主流使用只是时间问题?Hedera CEO何来底气“大放厥词”
· 巴比特午间要闻一览
· 分析:近期加密市场的反弹或由人民币推动
· TradingView组件存在缺陷,多个交易所可被利用实施钓鱼攻击
· 日本交易所GMO Coin调查:超过一半的用户预计XRP将是今年上涨最多的币种
· 火币前高管臧成都等加入新加坡WBF数字资产交易所,全球豪华团队意打造全球前十交易所
· 报告:韩国加密货币场外交易规模约占交易总量的25%,达400亿美元
· Circle CEO Jeremy Allaire:加密货币业务下滑,但去年仍在增长
· 北航教授蔡维德:未来我们的金融秩序一定是共识机制、共识经济
· 巴比特《8问》| 北航教授蔡维德:你以为摩根大通只是发了币?
· 韩国政府机构发布“2018年韩国金融科技企业手册”,区块链和虚拟货币企业占比9%

为了你的钱包安全,赶紧更新WinRAR!!!

fen_xiao副船长发布在 技术交流
 4074  28

转自腾讯御见威胁情报中心,大家为了安全起见,赶紧更新RAR吧

自WinRAR漏洞(CVE-2018-20250,系unacev2.dll代码库高危漏洞)曝光以来,许多恶意程序开始利用WinRAR漏洞进行传播。近日,腾讯御见威胁情报中心监控到攻击者正在利用该漏洞恶意传播Lime-RAT远控木马,该远控木马功能非常强大,通过修改配置信息或者接收远程指令,对中毒电脑实行远程控制。

若使用存在漏洞的压缩/解压软件(如WinRAR较低版本)打开攻击者刻意构造的压缩文件,系统就会被添加一个开机启动项,当电脑下次重启时,Lime-RAT远程控制木马就会运行。

该木马接受C2服务器(C&C的缩写,远程命令和控制服务器)指令,可以实现文件加密勒索、挖矿和下载其他恶意组件等功能。木马还会监视剪切板,当检测到受害者主机进行数字货币交易时,直接替换钱包地址达到抢钱目的,对比特币矿工及数字加密币交易的人群危害极大。

解决方案!!(必看)

1、将WinRAR更新到最新版本,下载地址:
32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe
64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
其他压缩软件的用户也应尽快将压缩工具升级到最新版本,避免遭遇漏洞攻击。

2、直接删除WinRAR安装目录下的UNACEV2.DLL文件,但会造成ACE文件无法使用(实际上大家可以完全放弃ace格式压缩文件,拥有ace格式专利的公司已经倒闭十多年了)。

3、开启腾讯电脑管家等杀毒软件的实时保护,防止遭遇可能的病毒攻击。

分析恶意压缩包

打开压缩包(扩展名),如下:
image.png

解压该压缩包,会释放恶意文件WinRAR.js到指定目录
image.png
WinRAR.js文件使用了多重代码混淆
image.png

解密后的部分关键代码如下所示:
image.png

WinRAR.js代码执行流程大致如下:

(1)设置启动项
(2)设置定时任务,每45分钟启动一次
(3)将WinRAR.js拷贝到Temp目录
(4)将一段混淆后的字符串写入注册表
(5)从注册表中读取该字符串,解混淆,得到一个PE文件(Lime-RAT远控木马),执行。

打赏信息
打赏者(2
打赏数量(+502
打赏理由
打赏时间
Linkea
+500
爆料有奖! 
2019-03-09 21:08:15
adasdrs3623
+2
多谢楼主提醒 
2019-03-09 21:33:34
本主题由 Linkea 于 2019-03-12 16:07:52 设置高亮
  • 正序
  • 最新
只看帖主楼层直达
  • 1
  • 2
登录 账号发表你的看法,还没有账号?立即免费 注册
推荐节点 更多
热帖榜 本周最热本月最热