Demo virus phát tán qua lỗ hổng SMB

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 19/06/19, 11:06 AM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 328
    Đã được thích: 161
    Điểm thành tích:
    43
    Lỗ hổng SMB xuất hiện lần đầu vào tháng 5/2017 khi một chiến dịch tấn công mã độc mã hóa dữ liệu Wannacry với quy mô toàn cầu, chỉ sau 3 ngày nó đã phát tán hơn 230.000 máy tính ở 150 quốc gia. Để có thể phát tán với tốc độ chóng mặt như vậy, Wannacry sử dụng lỗ hổng SMB ảnh hưởng trên tất cả các phiên bản của Windows. Một module chuyên dụng trong Wannacry sẽ đi quét toàn bộ các IP internet và IP trong mạng LAN nhằm tiến hành khai thác lỗ hổng SMB để phát tán chính nó sang các máy tính khác.


    Hiện tại, rất nhiều mã độc đã sử dụng lỗ hổng SMB để phát tán, điển hình các loại mã độc đào tiền ảo. Mình sẽ demo quá trình một mã độc đào tiền ảo thực tế quét toàn bộ mạng LAN để phát tán, giúp các bạn thấy rõ hơn về sự nguy hiểm của mã độc này.

    Do loại mã độc này đang rất phổ biến ở Việt Nam, nên mình cung cấp danh sách các đường dẫn dòng mã độc này, các bạn bật tính năng show hiden của Windows và kiểm tra trên máy tính của mình hoặc cơ quan đang làm việc xem có bị loại mã độc này không nhé.

    C:\Windows\IME\Microsoft\Svchost.exe
    C:\Windows\IME\\Microsoft\Spoolsv.exe
    C:\Windows\IME\Crypt\Spoolsv.exe
    C:\Windows\IME\Crypt\Spoolsv.exe===
    C:\Windows\IME\Daps\Svchost.exe
    C:\Windows\IME\Daps\Spoolsv.exe
    C:\Windows\System32\SysprepThemes\spoolsv.exe
    C:\Windows\SysprepThemes\Microsoft\svchost.exe
    C:\Windows\System32\SecureBootThemes\spoolsv.exe
    C:\Windows\SecureBootThemes\Microsoft\svchost.exe
    C:\Windows\SecureBootThemes\Microsoft\spoolsv.exe
    C:\Windows\System32\SecUpdateHost.exe
    C:\Windows\System32\ServicesHost.exe
    C:\Windows\System32\WUDHostServices.exe
    C:\Windows\System32\TrustedHostServices.exe
    C:\Windows\rss\csrss.exe
    %temp%\crsss

    Microsoft đã cung cấp bản vá, các bạn có thể tải bản vá tương ứng với phiên bản hệ điều hành tại link sau nhé:
    https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010
     
    Last edited by a moderator: 19/06/19, 03:06 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    AnhNHm and whf like this.
  2. hainhc

    hainhc W-------

    Tham gia: 25/01/16, 03:01 PM
    Bài viết: 24
    Đã được thích: 14
    Điểm thành tích:
    3
    Bài viết rất bổ ích, cảm ơn mod.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. AnhNHm

    AnhNHm New Member

    Tham gia: 26/03/19, 10:03 PM
    Bài viết: 4
    Đã được thích: 2
    Điểm thành tích:
    3
    Bài viết rất bổ ích, cảm ơn mod.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan