腾讯安全第一时间预警及披露
4月12日,腾讯御见威胁情报中心监测发现50余款用户量在千万级别的电脑软件遭遇大规模网页挂马攻击。攻击者通过某广告联盟系统发布带毒页面,带毒页面被内嵌在50余款常用软件中,结果酿成一场“412挂马风暴”。
电脑管家全网版本均可支持对该病毒的拦截与查杀。鉴于此次事件的严重性,腾讯电脑管家已第一时间在微博披露,同时也已通过多方渠道向广大用户预警。截至4月12日晚22点,已拦截超过20万次病毒攻击。
此波挂马的作恶路径
腾讯安全专家指出,这是一次影响广泛的网络攻击,暴露出互联网软件分发系统存在重大网络安全隐患。受影响的常用软件超过50款,其中不乏用户量在千万级别的软件。
当用户打开这些软件时,这些软件内嵌的新闻广告页会下载一个“2018最火美女直播秀”的广告,这个广告页事先已植入病毒,最终计算机会访问到利用CVE-2016-0189漏洞攻击的网页。此时,如果该电脑存在CVE-2016-0189安全漏洞,就会下载功能强大的木马运行。腾讯安全专家指出,这次412挂马风暴,最严重的问题就在于:存在风险的用户量很大,而且整个过程看起来和平常使用没有区别,用户打开这些软件,木马就进来了,如果用户电脑存在安全漏洞,又没有杀毒软件保护的话,中间没有任何提示。
挂马会有哪些恶性后果
一旦被挂马,意味着用户无需任何操作,就会中毒,即不用点不明链接,不用点击执行文件,只要联网,就会中毒。目前,腾讯御见威胁情报中心分析发现,此次挂马风暴下载的木马有多个不同版本,目前来看主要有4种恶行:
1、推装软件:当用户中毒后,电脑会突然出现一些未曾安装的软件。
2、植入挖矿:这意味着中毒后,你的网络带宽会被严重占用,出现运行卡慢的情况。该木马利用成千上万肉鸡电脑收集门罗币牟利。
3、截取在线平台交易:这就是一种趁机抢钱行为,就是当用户在使用购物网站等软件进行交易时,病毒会劫持交易,将用户资金转入特定账户。
4、远控木马:该木马会利用用户电脑下载其他远程控制木马,以实现对中毒电脑的长期控制。
截止4月12日18点,腾讯电脑管家已经拦截到412挂马风暴导致的20余万次病毒下载。受害最严重的省份有:山东(16%)、江苏(10.3%)、广东(9.3%)、河南(6.4%)、河北(6.4%)、辽宁(5.9%)、安徽(4.6%)。
腾讯安全专家建议
鉴于此次事件影响广泛,潜在受害用户庞大,且用户会在未进行任何操作的情况下中毒。腾讯电脑管家安全专家强烈建议广大用户,做好以下三点防范:
一、请及时安装微软IE浏览器补丁(或使用电脑管家漏洞修复安装补丁)
手动方案:升级浏览器到IE11,然后安装IE补丁:KB3154070 补丁下载地址>>
自动方案:使用腾讯电脑管家漏洞修复功能,修复IE漏洞。
二、安装安全软件,拦截挂马攻击
腾讯电脑管家已在第一时间拦截此次挂马攻击,安装了电脑管家的用户不用担心受到此次攻击。
三、网络管理员请尽快把下列IP加入防火墙拦截列表
如果您是公司或组织的网络管理员,请尽快将以下IP加入防火墙列表:
139.224.225.117
107.150.50.34
222.186.3.73