一、“暗云”木马程序
近日,据国家互联网应急中心通报,一款名为“暗云”的木马在互联网大规模传播,我国境内已有大量用户感染,对我国互联网安全构成一定的威胁。该木马程序控制的主机已经组成一个超大规模的跨境僵尸网络,黑客不仅可以窃取我国百万计网民的个人隐私信息,而且一旦利用该僵尸网络发起DDOS攻击将对我国互联网稳定运行造成严重影响。
1、“暗云”系列木马程序基本情况
“暗云”系列木马具有隐蔽性强、潜在危害大、传播范围广等特点。目前最新的变种“暗云Ⅲ”木马程序可在每次用户开机时从云端服务器下载并更新功能模块,可灵活变换攻击行为。2017年6月9日至今,国家互联网应急中心监测发现我国境内有160余万台电脑感染了此木马。目前,该木马仅能感染Windows系统电脑。
目前发现教育城域网互联网IP有电脑感染了该木马程序,由于城域网用户众多,无法定位具体感染的电脑。为此,请各单位立即开展安全防范工作。
2、木马排查和防范措施建议
(1)国家互联网应急中心开通了“暗云”木马感染数据免费查询服务,点击网址http://d.cert.org.cn即可查询使用的IP地址是否受到木马感染。
(2)不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件。
(3)定期在不同的存储介质上备份信息系统业务和个人数据。
(4)下载主流杀毒软件进行检测和查杀。
二、“震网三代 ”LNK 文件远程代码执行漏洞
1、系统漏洞危害
如果Windows系统存在该系统漏洞,攻击者可以安装、查看、更改或删除数据,或者创建具有完全用户权限的新帐户。一旦创建该账户,攻击者可以拥有计算机完全控制权限。
2、根治手段
(1)“ 震网三代”LNK 文件远程代码执行漏洞 (cve-2017-8464 )
目前微软已经针对除了 Windows 8 系统外的操作系统提供了官方补丁,微软官方补丁下载地址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
(2)Windows 搜索远程命令执行漏洞(cve-2017-8543 )
目前微软已经提供了官方补丁,微软官方补丁下载地址:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
关于加强防范“暗云”木马程序和“震网三代 ”LNK 文件远程代码执行漏洞的情况通报 .doc