Windows使用者注意!“紫狐”惡意軟體來襲

Editor發表於2021-03-24

2018年“紫狐”惡意軟體(Purple Fox)首次出現,通過與遊戲外掛或者第三方安裝軟體捆綁來進行傳播,電腦一經感染就會自行下載垃圾軟體。此後“紫狐”不斷升級迭代,近日有安全研究員發文稱紫狐正在利用一種新的感染技術對大量Windows IIS7.5 伺服器進行攻擊,且傳播速度極快。


Windows使用者注意!“紫狐”惡意軟體來襲


據悉,紫狐首先暴力破解SMB(伺服器資訊塊)密碼,從而獲取目標伺服器訪問許可權,隨後從其Windows Web 伺服器網路中,執行蠕蟲有效載荷。


一旦程式碼開始執行,將會下載並安裝一個惡意MSI包。安裝包啟動後,安裝程式將提取有效載荷並將其解密,其中包含3個檔案:64位DLL有效負載(Winupdate64)、32位DLL有效負載(Winupdate32)、rootkit加密檔案。


值得注意的是在安裝過程中,“紫狐”會通過執行多個netsh命令來修改計算機的防火牆埠。完成這一操作後,它會生成一份 Internet 地址列表,掃描出同樣弱密碼的裝置並通過蠕蟲技術繼續感染,構築出一個殭屍網路。


研究人員稱該軟體關閉防火牆埠的原因可能是為了防止二次感染或者是避免其他入侵者對該計算機發起攻擊。


紫狐重新啟動機器之前部署的最後一步是載入隱藏在MSI包中rootkit,用來隱藏病毒感染的程式和入侵的痕跡,讓安全軟體和系統管理員都很難察覺。


載入完成後,安裝程式將重啟計算機,隨後惡意軟體開始執行,在445埠上掃描其生成的IP範圍,從而進行進一步感染。

 

據統計,過去的一年內,“紫狐”至少感染了超過90000電腦使用者,受感染人數增長非常快。


建議大家使用高強度密碼,並定期對伺服器進行加固。此外若發現存在安全漏洞,及時修補。





圖片

公眾號ID:ikanxue

官方微博:看雪安全

商務合作:wsc@kanxue.com




相關文章