新病毒威胁单位局域网用户 假装正常软件很难清除
发布时间:2022-06-28 08:15:34 所属栏目:安全 来源:互联网
导读:近日,火绒安全团队截获新蠕虫病毒SyncMiner ,该病毒在政府、企业、学校、医院等单位的局域网中具有很强的传播能力。该病毒通过网络驱动器和共享资源目录(共享文件夹)迅速传播,入侵电脑后,会利用被感染电脑挖取门罗币,造成CPU占用率高达100%,并且该
|
近日,火绒安全团队截获新蠕虫病毒"SyncMiner" ,该病毒在政府、企业、学校、医院等单位的局域网中具有很强的传播能力。该病毒通过网络驱动器和共享资源目录(共享文件夹)迅速传播,入侵电脑后,会利用被感染电脑挖取"门罗币",造成CPU占用率高达100%,并且该病毒还会通过远程服务器下载其他病毒模块,不排除盗号木马、勒索病毒等。 根据火绒安全团队分析发现,蠕虫病毒"SyncMiner"会将自己复制到网络驱动器和共享资源目录,并伪装成视频文件夹,诱使用户点击病毒文件,从而激活病毒,并通过添加计划任务和开机启动项的方式驻留在系统中。其中,病毒将计划任务伪装为Java运行库的更新进程,在继续传播的同时进行挖矿;将开机启动项伪装为Adobe更新进程,检测并恢复病毒文件,使病毒屡杀不绝。 目前,火绒"企业版"和"个人版"最新版均可彻底查杀蠕虫病毒"SyncMiner"。同时,政府、企业、医院、学校等受此类病毒威胁较大的局域网用户,我们建议申请安装"火绒企业版",可有效防御局域网内病毒屡杀不绝的难题。 该病毒在运行后会将自身拷贝到%Appdata%Java Sun和%AppData%RoamingAdobe路径下,利用计划任务和注册表项实现病毒自启动。该病毒会通过映射的网络驱动器和网络中的共享资源进行传播,并在被感染的机器上挖取门罗币。除此之外,病毒会向C&C服务器下载并执行其他的病毒模块。 该蠕虫病毒会将自身复制到映射的网络驱动器和共享资源目录中,并将病毒命名为video.scr,配合其具有诱导性的图标,欺骗用户点击病毒文件,从而激活携带的恶意代码。 当病毒运行时,会判断传递给病毒进程的参数,当参数为"sync"时,会把病毒文件拷贝到%Appdata%Java Sun路径下,并将其注册成名为"SunJavaUpdateSched"的计划任务。 计划任务对应的病毒进程在运行时,会利用当前计算机挖矿,挖矿时计算机CPU会高达100%,容易被安全软件发现并清除。为了使得病毒更长久的驻留在系统中,病毒还将自身拷贝到%AppData%RoamingAdobe目录下,将其命名为UpdaterStartupUtility.exe,伪装成Adobe升级程序,并通过注册表设置为开机启动项 "AdobeAAMUpdater"。这样做的目的是,如果计划任务对应的病毒被清除,当系统再次重启之后,病毒可以恢复计划任务与对应的病毒文件,从而继续执行恶意代码。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号