241期惡意代碼信息
2020/07/27-2020/08/02
內容提要:經安天【CERT】檢測分析,本周有 3 個活躍的漏洞以及 7 個活躍的惡意代碼家族值得關注
| 關注方面 | 名稱與發現時間 | 威脅等級 | 相關描述 |
| 活躍漏洞 | Microsoft Windows 和 WindowsServer 安全漏洞(CVE-2020-1436) | 高 | 當 Windows 字體庫不正確地處理經特殊設計的字體時,存在遠程代碼執行漏洞。對于除 Windows 10 之外的所有系統,成功利用此漏洞的攻擊者可以遠程執行代碼。對于 Windows 10 系統,成功利用此漏洞的攻擊者可以利用受限的特權和功能在 AppContainer 沙盒上下文中執行代碼。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。 |
| Microsoft Word 安全漏洞(CVE-2020-1447) | 高 | Microsoft Word 軟件無法正確處理內存中的對象時,會觸發遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以使用經特殊設計的文件在當前用戶的安全上下文中執行操作。例如,文件可以代表登錄用戶使用與當前用戶相同的權限執行操作。 | |
| Microsoft Windows Graphics DeviceInterface 安全漏洞(CVE-2020-1435) | 高 | Windows 圖形設備接口 (GDI) 處理內存中對象的方式中存在遠程代碼執行漏洞。成功利用此漏洞的攻擊者可能會控制受影響的系統。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。 | |
|
較為活躍 樣本家族 |
Trojan[Backdoor]/MSIL.Bladabindi | 中 | 此威脅是一種使用 C# 語言編寫的具有后門行為的木馬家族。該家族木馬為 NJ Rat 所生成的被控制端,在執行后會與遠程服務器通訊并接收遠程服務器的控制。該木馬具有竊密行為和其他惡意行為。 |
| Trojan[Backdoor]/Win32.CosmicDuke | 中 | 此威脅是一種后門類木馬家族。該家族木馬具有很多功能,例如記錄鍵盤擊鍵、獲取剪切板信息、監視用戶屏幕、竊取聊天軟件、電子郵件賬號密碼,收集系統文件信息,將收集到的信息通過 FTP 發送到遠程服務器,從遠程服務器下載惡意程序等。 | |
| Trojan/Win32.Salgorea | 中 | 此威脅是一種可以竊取密碼信息的木馬家族。該家族木馬運行后會竊取用戶賬戶信息,記錄鍵盤擊鍵信息并將相關信息回傳服務器。 | |
| Trojan[Backdoor]/Linux.Mirai | 中 | 此威脅是一種 Linux 平臺上的僵尸網絡家族。該家族木馬主要是利用漏洞傳播并組建僵尸網絡。 | |
| Trojan[Backdoor]/Linux.Gafgyt | 中 | 此威脅是一種 Linux 平臺上的具有 DDoS 攻擊功能的后門家族。該家族樣本運行后會在 Linux 上開啟一個后門并允許遠程控制端執行任意操作。 | |
| Trojan/Android.Fakeapp | 中 | 此威脅是一種偽裝類木馬家族。該家族樣本通常偽裝為主要應用程序(Fackbook 等),誘導用戶輸入賬號密碼,通過 firebase 聯網上傳或發送短信等方式竊取用戶的賬號密碼,造成用戶隱私泄露和資費消耗。 | |
| Trojan/Android.Hqwar | 低 | 此威脅是安卓平臺上一種間諜類木馬家族。該家族木馬運行后,偽裝成系統應用,聯網上傳用戶短信、通訊錄、通話記錄、錄音、位置信息等隱私信息,私自發送指定短信,造成用戶隱私泄露和資費消耗。 |