Demo virus phát tán qua lỗ hổng SMB
Lỗ hổng SMB xuất hiện lần đầu vào tháng 5/2017 khi một chiến dịch tấn công mã độc mã hóa dữ liệu Wannacry với quy mô toàn cầu, chỉ sau 3 ngày nó đã phát tán hơn 230.000 máy tính ở 150 quốc gia. Để có thể phát tán với tốc độ chóng mặt như vậy, Wannacry sử dụng lỗ hổng SMB ảnh hưởng trên tất cả các phiên bản của Windows.
Một module chuyên dụng trong Wannacry sẽ đi quét toàn bộ các IP internet và IP trong mạng LAN nhằm tiến hành khai thác lỗ hổng SMB để phát tán chính nó sang các máy tính khác.
Hiện tại, rất nhiều mã độc đã sử dụng lỗ hổng SMB để phát tán, điển hình các loại mã độc đào tiền ảo. Mình sẽ demo quá trình một mã độc đào tiền ảo thực tế quét toàn bộ mạng LAN để phát tán, giúp các bạn thấy rõ hơn về sự nguy hiểm của mã độc này.
Do loại mã độc này đang rất phổ biến ở Việt Nam, nên mình cung cấp danh sách các đường dẫn dòng mã độc này, các bạn bật tính năng show hiden của Windows và kiểm tra trên máy tính của mình hoặc cơ quan đang làm việc xem có bị loại mã độc này không nhé.
C:\Windows\IME\Microsoft\Svchost.exe
C:\Windows\IME\\Microsoft\Spoolsv.exe
C:\Windows\IME\Crypt\Spoolsv.exe
C:\Windows\IME\Crypt\Spoolsv.exe===
C:\Windows\IME\Daps\Svchost.exe
C:\Windows\IME\Daps\Spoolsv.exe
C:\Windows\System32\SysprepThemes\spoolsv.exe
C:\Windows\SysprepThemes\Microsoft\svchost.exe
C:\Windows\System32\SecureBootThemes\spoolsv.exe
C:\Windows\SecureBootThemes\Microsoft\svchost.exe
C:\Windows\SecureBootThemes\Microsoft\spoolsv.exe
C:\Windows\System32\SecUpdateHost.exe
C:\Windows\System32\ServicesHost.exe
C:\Windows\System32\WUDHostServices.exe
C:\Windows\System32\TrustedHostServices.exe
C:\Windows\rss\csrss.exe
%temp%\crsss
Microsoft đã cung cấp bản vá, các bạn có thể tải bản vá tương ứng với phiên bản hệ điều hành tại link sau nhé:
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010
Một module chuyên dụng trong Wannacry sẽ đi quét toàn bộ các IP internet và IP trong mạng LAN nhằm tiến hành khai thác lỗ hổng SMB để phát tán chính nó sang các máy tính khác.
Hiện tại, rất nhiều mã độc đã sử dụng lỗ hổng SMB để phát tán, điển hình các loại mã độc đào tiền ảo. Mình sẽ demo quá trình một mã độc đào tiền ảo thực tế quét toàn bộ mạng LAN để phát tán, giúp các bạn thấy rõ hơn về sự nguy hiểm của mã độc này.
Do loại mã độc này đang rất phổ biến ở Việt Nam, nên mình cung cấp danh sách các đường dẫn dòng mã độc này, các bạn bật tính năng show hiden của Windows và kiểm tra trên máy tính của mình hoặc cơ quan đang làm việc xem có bị loại mã độc này không nhé.
C:\Windows\IME\Microsoft\Svchost.exe
C:\Windows\IME\\Microsoft\Spoolsv.exe
C:\Windows\IME\Crypt\Spoolsv.exe
C:\Windows\IME\Crypt\Spoolsv.exe===
C:\Windows\IME\Daps\Svchost.exe
C:\Windows\IME\Daps\Spoolsv.exe
C:\Windows\System32\SysprepThemes\spoolsv.exe
C:\Windows\SysprepThemes\Microsoft\svchost.exe
C:\Windows\System32\SecureBootThemes\spoolsv.exe
C:\Windows\SecureBootThemes\Microsoft\svchost.exe
C:\Windows\SecureBootThemes\Microsoft\spoolsv.exe
C:\Windows\System32\SecUpdateHost.exe
C:\Windows\System32\ServicesHost.exe
C:\Windows\System32\WUDHostServices.exe
C:\Windows\System32\TrustedHostServices.exe
C:\Windows\rss\csrss.exe
%temp%\crsss
Microsoft đã cung cấp bản vá, các bạn có thể tải bản vá tương ứng với phiên bản hệ điều hành tại link sau nhé:
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010
Chỉnh sửa lần cuối bởi người điều hành:
