病毒预警：DDos攻击病毒cc3新变种复活

小土逗

近日，墨者安全高防技术团队接到多个客户反映，墨者盾提示检测到主机服务器有病毒攻击，但通过一些杀毒软件排查却一无所获。墨者安全技术团队通过一系列的排查，最终确认是感染了Zegost病毒。此病毒从2011年开始活跃，至今已准8年了，是CC3病毒的新变种。

---

一、排查过程
通过对内存进行扫描发现主要有svchost.exe、rdpclip.exe两个进程关联。通过对rdpclip.exe的分析，发现其进程不与恶意域名进行通信。svchost.exe相关共有3个进程，ID分别是856、412和1372：

这3个进程内存中都存在恶意域名的信息，通过对856和412进程其它信息分析，没有任何发现。但在对1372进程分析时，发现其服务项存在着一个异常服务名。服务名称看上去很诡异（随机），通过服务项发现其启动项也很奇怪。在注册表中找到对应执行文件路径：“C:\ProgramData\Storm\update\%SESSIONNAME%\”，通过沙盒分析确定其为Zegost病毒，cc3的新变种。

---

二、入侵过程
通过对服务器排查，发现以下几个入侵点：
1、发现主机上有一款第三方的ftp软件，对应软件的历史和近期升级包都含变形病毒攻击（后门、蠕虫）。
2、通过对服务器的日志分析，发现其之前登录日志都已经被删除了，怀疑是攻击者入侵时删除的日志，存在远程桌面(RDP)、域控(NTLM)**的可能。

---

三、防御措施
1、不使用不安全的第三方软件，以防软件存在后门，主机被恶意控制。
2、主机定期更换安全性高的密码，并且密码要与地理信息、单位信息、个人信息无关。
3、及时备份重要文件，面对复杂互联网环境，经常备份以不变应万变。
4、不点击来源不明邮件以及附件。

aubreyl

为了防止这些个病毒攻击，我们网站基本都是同时压缩备份三份！

总有刁民要害朕

我之前也挨过

网恋吗我无敌渣

谢谢分享...