”驱动人生”病毒大规模爆发
2018年12月14日下午“驱动人生”病毒大规模爆发,此病毒仅仅在数小时内即感染超过十万台电脑。
----------------------------------------------------------------------------------------------------------------------------------------------------------------------
技术人员通过现场技术分析发现驱动人生某服务器被黑客利用漏洞入侵后,黑客更改了驱动人生升级服务器上获取更新软件的配置URL地址,并将其指向境外病毒服务器。该升级服务器仅作老版本软件的更新使用,涉及软件服务仅占驱动人生全部软件服务的5%。
病毒被下载到本地执行后会继续释放病毒模块,新病毒模块利用永恒之蓝漏洞对局域网内所有电脑展开攻击并回传被感染电脑的IP地址、CPU型号等信息。同时病毒还会随机向外网的IP段进行扫描和攻击,每台被感染的电脑都成为节点继续向外展开攻击,如果这些被扫描的电脑没有修复永恒之蓝漏洞,随之它们也将会被感染。同时此病毒感染后会加载云端控制模块,攻击者可以下发命令加载其他病毒进行攻击。
对此安全事件建议如下:
使用相关杀毒软件对已被感染或怀疑被感染的电脑进行查杀和排查;
手工查看系统目录C:\Windows\SysWOW64(system32)/下是否存在svhost.exe/svhhost.exe文件;
通过Windows 系统自带的regedit工具查找注册表中是否存在名为“Ddriver”服务,通过杀软清除;
及时更新系统补丁,防止被公开漏洞攻击利用;
若不能即使更新相关补丁,建议可先关闭135、139、445端口。
就此事件驱动人生发布正式公告如下: