抖圈为赌而生

首页 > 技术支持 > 升级通告 > 每周升级通告

2020-04-21

宣布时间 2020-04-21

新增事件

事件名称：	TCP_后门_Win.BACKSPACE/Lecna_连接C2服务器
宁静类型：	木马后门
事件描述：	检测到后门试图连接远程服务器。 BACKSPACE是一个后门，也就是"Lecna"，功效非常强大，可完全控制被熏染机器。 BACKSPACE可以窃取敏感信息，如计算机名称、系统版本，IP地址等，具有进程管理、文件管理、注册表管理、执行命令等。
更新时间：	20200421

事件名称：	TCP_木马_Sidewinder.PreBotModules_连接C2服务器
宁静类型：	木马后门
事件描述：	检测到 Sidewinder.PreBotModules 试图连接远程服务器。源IP所在的主机可能被植入了后门 Sidewinder.PreBotModules。 PreBotModules 是APT组织"响尾蛇"（SideWinder、T-APT-04）用c#写的信息收集�？�，该后门�？橥ǔＪ褂�Office诱饵文档下发，植入主机后会收集受害主机的计算机名、用户名、MAC地址、启用的服务和进程、更新补丁等指纹信息发送至远程服务器。
更新时间：	20200421

修改事件

事件名称：	HTTP_后门_FakeSanforUD_连接
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了FakeSanforUD。深信服VPN客户端存在漏洞，在升级时会下载执行名为SangforUD.exe的更新法式。但VPN客户端仅对SangforUD.exe做了简单的版本对比，没有做任何的宁静检查。APT组织Darkhotel攻破了VPN服务器，改动升级配置文件并把SangforUD.exe替换为恶意的后门FakeSanforUD。 FakeSanforUD是一个后门，通过下载执行shellcode，最终下载核心的后门恶意组件thinmon.dll。核心后门组件thinmon.dll会解密云端下发的另外一个加密文件Sangfor_tmp_1.dat，以加载、线程启动、注入进程3种方式中的一种启动dat文件，最终由dat文件实现与服务器交互执行恶意操作。
更新时间：	20200421

事件名称：	DNS_木马_可疑矿池域名解析请求
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了挖矿木马。
更新时间：	20200421

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号