腾讯安全:WinRAR漏洞被利用传播木马 可“打劫”比特币钱包

2019-03-08 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯安全御见威胁情报中心监测发现,一款名为“Lime-RAT”的远控木马正通过WinRAR高危漏洞(CVE-2018-20250)进行恶意传播。该木马可通过修改配置信息或者接收远程指令,对中毒电脑实行远程控制,甚至还会监视用户的剪切板,在用户进行数字货币交易时实施“打劫”,给用户信息和财产安全构成极大威胁。


全球经典压缩包管理器——WinRAR被曝发现高危远程代码执行漏洞以来,这些高危漏洞已然成为不少网络攻击者“钻空作案”的“新宠”。近日,腾讯安全御见威胁情报中心监测发现,一款名为“Lime-RAT”的远控木马正通过WinRAR高危漏洞(CVE-2018-20250)进行恶意传播。该木马可通过修改配置信息或者接收远程指令,对中毒电脑实行远程控制,甚至还会监视用户的剪切板,在用户进行数字货币交易时实施“打劫”,给用户信息和财产安全构成极大威胁。

目前,腾讯电脑管家已实现对该木马进行全面拦截并查杀,建议用户及时防范。

(图:腾讯电脑管家全面拦截并查杀该病毒)

由于此次披露的WinRAR高危漏洞源于至今14年以来,未曾更新UNACEV2.dll的代码库,因此WinRAR 5.7之前的较低版本成为攻击者进行恶意传播的“主战场”。据了解,WinRAR高危漏洞的出现使得攻击者可根据已披露的漏洞信息,绕过系统权限,刻意构造ACE格式的攻击文件,诱导用户打开,实现WinRAR软件的直接运行,并可将恶意程序植入至Windows系统启动文件夹内,在电脑下次启动时,通过恶意软件实现对用户电脑的远程控制。

腾讯电脑管家安全专家表示,Lime-RAT远控木马的运作基本遵从上述逻辑。当用户使用存有高危漏洞的压缩/解压软件,打开事先被攻击者刻意构造的压缩文件后,携有恶意代码的文件便在此时进入系统。随后,用户系统就会被添加一个开机启动项并生成了一个每45分钟一次的定时启动任务。至此,Lime-RAT远控木马就被成功植入到用户电脑系统中,一旦用户电脑重新启动,远控木马就能成功运行。

(图:内藏Lime-RAT挖矿木马恶意压缩包)

作为Windows平台一款简单而强大的远程木马,一旦Lime-RAT被触发,攻击者就可对用户电脑进行文件加密勒索、挖矿和下载其他恶意组件等远程操作,对用户信息安全造成极大危害。值得一提的是,Lime-RAT木马还可实现对剪切板的监视,当发现用户主机在进行数字货币交易时,通过替换钱包地址的方式达到“抢钱”的目的,对从事数字加密货币交易和比特币矿工人员来说构成严重威胁。

当前,隐藏于压缩文件WinRAR漏洞中的病毒木马攻击活动仍较活跃,给使用者带来一定的安全隐患。如何有效抵御不法黑客攻击?腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大用户,警惕来历不明的压缩文件,切勿随意打开未知文件,并建议使用腾讯电脑管家等安全软件对下载文件进行实时监测与查杀,可直接防御该类木马入侵。

此外,广大用户应尽快将WinRAR更新到最新版本,或者直接删除现有WinRAR安装目录下的UNACEV2.DLL文件,可有效防御攻击者入侵。腾讯电脑管家后续将密切关注“Lime-RAT”远控木马的相关进展动态,尽可能高效地为用户提供解决和防御方案。


电脑管家 V16

全新上线 更轻更快