281期惡意代碼信息
2021/05/31-2021/06/06
經安天【CERT】檢測分析,本周有 3 個活躍的漏洞以及 7 個活躍的惡意代碼家族值得關注
| 關注方面 | 名稱與發現時間 | 威脅等級 | 相關描述 |
| 活躍漏洞 | Nginx DNS Resolver 遠程代碼執行漏洞(CVE-2021-23017) | 高 | Nginx DNS Resolver 存 在 遠 程 代 碼 執 行 漏 洞。 由 于 Nginx 的 DNS Resolver 組件在未壓縮的域名處理上存在邏輯錯誤,使得攻擊者可疑構造惡意數據執行遠程代碼攻擊。 |
| Microsoft HTTP 協議棧的遠程代碼執行漏洞(CVE-2021-31166) | 高 | Microsoft HTTP 協議棧存在遠程代碼執行漏洞。由于 HTTP 協議棧中存在 use-after-free 錯誤,使得攻擊者可以向受影響的系統發送特制的 HTTP 請求并執行任意代碼。 | |
| VMware vCenter Server 遠 程 代 碼執行漏洞(CVE-2021-21985) | 高 | VMware vCenter Server 存在遠程代碼執行漏洞。由于對 Virtual SAN 運行狀況檢查插件(默認情況下已啟用)中用戶提供的輸入的驗證不足。遠程未經身份驗證的攻擊者可以向端口 443/tcp 上可用的 vSphere Client 發送特制的 HTTP 請求,并在托管 vCenter Server 的底層操作系統上以不受限制的特權執行任意命令。 | |
|
較為活躍 樣本家族 |
Trojan/Win32.Scar | 中 | 此威脅是一種木馬類程序,可以將某些金融網站重定向到攻擊者設置的另一個地址,模仿登錄界面從而竊取用戶密碼。 |
| Trojan[Proxy]/Win32.Qukart | 中 | 此威脅是一種可以竊取用戶信息并通過代理服務器回傳信息的木馬類家族。該家族樣本收集系統的敏感信息,通過 http 請求發送到指定網頁。該家族在后臺會自動更新。 | |
| Trojan/Win32.Mansabo | 中 | 此威脅是一種可以竊取密碼信息的木馬類家族。該家族的樣本運行后會竊取用戶賬戶信息,記錄鍵盤擊鍵信息,造成用戶隱私泄露。 | |
| Trojan/Win32.Khalesi | 中 | 此威脅是一種具有多種惡意功能的家族木馬。該家族樣本運行后,會竊取系統賬戶信息,記錄鍵盤擊鍵信息,下載其他惡意軟件。該家族樣本通過釣魚郵件傳播,通過添加計劃任務持久駐留系統。 | |
| Trojan[Ransom]/Win32.Blocker | 中 | 此威脅是一種贖金類木馬家族。該家族木馬運行后會破壞電腦系統、損壞用戶的文件,對用戶文件加密使用戶無法打開。此時黑客會向用戶索要贖金并提供所謂的“密鑰”,但用戶支付贖金后仍然不能修復受損的文件。 | |
| Trojan[Backdoor]/Linux.Mirai | 中 | 此威脅是一種 Linux 平臺上的僵尸網絡家族。該家族樣本主要是利用漏洞傳播并組建僵尸網絡,并利用僵尸網絡傳播相關惡意軟件。 | |
| Trojan[Dropper]/Android.Wroba | 中 | 此威脅是安卓平臺上的一種惡意代碼釋放類木馬家族。該家族木馬運行后激活設備管理器、隱藏圖標。接收短信指令,根據指令攔截指定短信,偽造新版本通知釋放惡意 apk 同時卸載正常程序,上傳手機用戶隱私信息至遠程服務器地址。 |