qqpcrtp.exe是什么东西 qqpcrtpexe是什么东西
许多网友对qqpcrtp.exe是什么东西,qqpcrtpexe是什么东西不是很了解,下面让艾巴小编为大家介绍下
据腾讯安全威胁情报中心监测,一款通过“驱动生命”升级频道,同时利用“永恒之蓝”高危漏洞的木马突然爆发,短短两小时内被攻击用户数高达10万。“驾命”木马会利用高危漏洞在企业内网像蠕虫一样传播,并进一步下载云控木马在中毒电脑中挖掘门罗币。一、概述12月14日下午,腾讯安全威胁情报中心监测发现,一款由“驾命”升级,通过“永恒之蓝”高危漏洞传播的木马突然爆发,短短两小时内被攻击用户数高达10万。
“生命驾驶”木马会利用高危漏洞在内网传播蠕虫,并进一步下载云控木马在中毒电脑上挖掘门罗币。云木马控制对企业信息安全威胁很大,企业用户要重视。
周末病毒刚爆发,让企业网管措手不及。员工电脑周一开机后,建议立即杀毒,然后使用杀毒软件的漏洞修复功能安装系统补丁。个人电脑用户可以使用腾讯电脑管家进行防身。
这次病毒爆发有三个特点:
1.驱动生命升级通道的病毒会在中毒电脑上安装云控木马;
2.该病毒会利用永恒之蓝漏洞在局域网中主动传播;
3.通过云控收集中毒电脑的一些信息,接受云指令挖掘中毒电脑中的门罗币。
特洛伊木马攻击流程图
二、详细分析dtlupg.exe访问了以下网站来下载病毒。
hxxp://xxxx。更新。ack ng。com/zip工具/pull execute/f 79 CB 9d 2893 b 254 cc 75 DFB 7 F3 e 454 a 69。可执行程序的扩展名
hxxp://xxxx。更新。ack ng。com/calendar/pull execute/f 79 CB 9d 2893 b 254 cc 75 DFB 7 F3 e 454 a 69。可执行程序的扩展名
(注意,为了防止用户点击上面的链接直接下载病毒程序,已经隐藏了一些字符。)
病毒文件发布于:
c:\ program files(x86)\ dtlsoft \ Riley \ updater \ ctrlf \ f79cb2893b254cc75dbf7f3e454a69.exe等等。
F79cb9d2893b254cc75dfb7f3e454a69.exe终于在运行后发布了C:\WINDOWS\Temp\svvhost.exe。
(MD5:2e 9710 a4 b 9 CB 3c 11e 977 af 87570 e3b),svvhost.exe打包了“永恒之蓝”等漏洞攻击工具,在内外网进一步传播。
2.1病毒父代
F79CB9D2893B254CC75DFB7F3E454A69.exe
运行后将其自身复制到C:\windows\system32\svhost.exe,作为服务安装启动。该服务被称为Ddiver,然后云控制模块svhhost.exe和攻击模块svvhost.exe被拉起。
在运行时,检测互斥体以确定它是否被感染。
通过检测以下进程,将收集软件查杀信息并准备上传。
360托盘。exe | 360 SD。exe | AVP。exe | kvmonxp。exe | rav mond。exe | mcshield。exe | egui。exe | kxe托盘。exe | knsdtray。exe | tmbmsrv。exe | av中心。exe | ash dispexe | rtvscan。exe | ksafe。exe | qpcrtp。可执行程序的扩展名
当任务管理器和游戏进程被检测到时,云控制模块svhhost.exe退出。
打开互斥锁。对象名为“我是xmr的记者”,意思是xmrig.exe矿机。
收集系统敏感信息上传到hxp://i.hago.net/i.png,接受返回的云控制代码执行。
设置父进程HSKALWOEDJSLALQEOD的共享内存
2.2采矿
云木马svhhost.exe的主要功能是从父进程svhost.exe的共享内存中读取shellcode进行解密和执行,每隔2000秒从共享内存中读取shellcode进行解密和执行。共享内存被命名为HSKALWOEDJSLALQEOD。目前这个shellcode主要用于挖矿,不排除后面会拉其他更恶意的加密、勒索等木马病毒。
云木马执行流程
云木马运行后会创建一个线程。这个线程函数的主要功能是判断进程svhost.exe(父进程)是否存在。如果它不存在,启动该进程,然后从该进程中读取共享内存数据。
创建一个线程来确定父进程是否存在。
调用OpenFileMappingA打开共享内存,读取共享内存数据。
读取共享内存数据
调用RtlDecompressBuffer函数对共享内存中的数据进行解压缩,为下一次执行做准备。
解压缩共享内存数据
共享内存数据将在被加压后执行。目前这个shellcode的主要功能是挖矿,不排除后期会拉其他更恶意的木马病毒,比如加密、勒索等。
执行外壳代码
尝试采矿时,通信IP是172.105.204.237。
2.3攻击模块
攻击模块从地址hxp:/hxxp://dl . Haq o . net/EB . exez下载,并作为子进程Svvhost.Exe启动。分析表明,该文件是一个python实现的“永恒之蓝”漏洞模块压缩打包程序。
Svvhost。Exe是一个子进程,是一个打包器,压缩了python实现的“永恒之蓝”漏洞利用模块。
Mysmb.pyo是攻击时的扫码。
相关开源代码也可以在GitHub上看到。
扫描内部网的445端口进行攻击。
不仅攻击网易被攻击的机器,还随机找几个外部IP尝试攻击,一次攻击后沉默20分钟。
攻击成功后,paylaod在中招的机器中执行以下命令,传播内网。
cmd.exe/c证书-URL缓存-拆分-f
建议1。服务器临时关闭不必要的端口(如135、139、445)。请参考:
2.周一上班后,建议企业用户使用腾讯御点查杀病毒(个人用户可使用腾讯电脑管家),然后使用漏洞修复功能修复全网终端高危漏洞;
3.服务器使用高强度密码代替弱密码,防止黑客暴力破解;
4.使用杀毒软件拦截可能的病毒攻击;
5.建议企业用户部署腾讯御捷高级威胁检测系统,防御可能的黑客攻击。御捷高级威胁检测系统是基于腾讯反病毒实验室的安全能力,依托腾讯在云端和终端的海量数据,打造的独特的威胁情报和恶意检测模型系统。
推荐阅读
- 婴幼儿衣服是否可以自己做?孩子是每个父母眼中不可代替的纯在当孩
- 王者荣耀怎么获取铭文碎片最多,王者荣耀怎么获取铭文
- 张贤胜,韩国男歌手、男子演唱团体BEAST前成员
- 汽车小圆镜正确安装最佳位置文章,汽车小圆镜正确安装最佳位置
- 马拉齐纳 切沃 经典球队回首:2001-2002赛季飞驴切沃横空出世
- 无锡灵山胜境简介
- 电脑用着用着黑屏了主机还在工作,打开电脑时,主机能运行,显示器却黑屏,怎么办
- 欢乐斗地主残局困难180关,欢乐斗地主残局困难180关怎么过
- 唱歌跑调的人适合唱什么,唱歌跑调的人适合唱什么歌
- 奥迪A3最新款落地价是多少钱?奥迪A3报价(a3奥迪报价)
- vj师网app(VJ师商学院)软件介绍(vj师网app(VJ师商学院))
- 间冷式冰箱电路工作原理,间冷式电冰箱电路图
- 跳水109b什么意思,跳水109c啥意思
- 李玖哲,美籍韩裔男歌手
- 铁路道口遇到两个红灯交替闪烁时确认安全后可通过,光猫los红灯闪烁、光猫pon灯不亮
- 农村学生高考落榜该怎么办?特迷茫?本人江西的去年高中毕业二本
- 北京影视拍摄基地简介
- 没带驾驶证开车怎么处罚,现在不带驾驶证可以开车吗
- 忍者神龟正式版必杀技,《忍者神龟1》出招及技能解析
- 2011nba小牛为什么 解读:11年小牛为何拆散夺冠阵容库班冷血才是幕后本质