飘仙建站论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 966|回复: 3

[转载] 病毒预警:DDos攻击病毒cc3新变种复活

[复制链接]
     

150

主题

239

帖子

9654

积分

中级站长

Rank: 6Rank: 6

积分
9654
发表于 2018-11-16 17:27:19 | 显示全部楼层 |阅读模式
近日,墨者安全高防技术团队接到多个客户反映,墨者盾提示检测到主机服务器有病毒攻击,但通过一些杀毒软件排查却一无所获。墨者安全技术团队通过一系列的排查,最终确认是感染了Zegost病毒。此病毒从2011年开始活跃,至今已准8年了,是CC3病毒的新变种。

QQ截图20181116163210.jpg



一、排查过程
通过对内存进行扫描发现主要有svchost.exe、rdpclip.exe两个进程关联。通过对rdpclip.exe的分析,发现其进程不与恶意域名进行通信。svchost.exe相关共有3个进程,ID分别是856、412和1372:
QQ截图20181116161305.jpg
这3个进程内存中都存在恶意域名的信息,通过对856和412进程其它信息分析,没有任何发现。但在对1372进程分析时,发现其服务项存在着一个异常服务名。服务名称看上去很诡异(随机),通过服务项发现其启动项也很奇怪。在注册表中找到对应执行文件路径:“C:\ProgramData\Storm\update\%SESSIONNAME%\”,通过沙盒分析确定其为Zegost病毒,cc3的新变种。
QQ截图20181116161455.jpg


二、入侵过程
通过对服务器排查,发现以下几个入侵点:
1、发现主机上有一款第三方的ftp软件,对应软件的历史和近期升级包都含变形病毒攻击(后门、蠕虫)。
2、通过对服务器的日志分析,发现其之前登录日志都已经被删除了,怀疑是攻击者入侵时删除的日志,存在远程桌面(RDP)、域控(NTLM)**的可能。

QQ截图20181116161740.jpg



三、防御措施
1、不使用不安全的第三方软件,以防软件存在后门,主机被恶意控制。
2、主机定期更换安全性高的密码,并且密码要与地理信息、单位信息、个人信息无关。
3、及时备份重要文件,面对复杂互联网环境,经常备份以不变应万变。
4、不点击来源不明邮件以及附件。
QQ截图20181116161829.jpg


发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

     

4

主题

85

帖子

5901

积分

初级站长

Rank: 6Rank: 6

积分
5901
发表于 2018-11-19 16:07:24 | 显示全部楼层
为了防止这些个病毒攻击,我们网站基本都是同时压缩备份三份!

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

     

95

主题

106

帖子

4931

积分

注册会员③

Rank: 5Rank: 5

积分
4931
发表于 2019-4-1 10:59:43 | 显示全部楼层
我之前也挨过

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

     

11

主题

40

帖子

-588

积分

乞丐

积分
-588
发表于 2019-12-18 14:48:47 | 显示全部楼层
谢谢分享...

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

QQ|侵权投诉|广告报价|小黑屋|手机版|西部数码代理|飘仙建站论坛 ( 豫ICP备08106178号 )

GMT+8, 2020-8-15 04:23 , Processed in 0.272511 second(s), 35 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表