首頁 > 技術支持 > 升級公告 > 每周升級公告

2018-09-07

發布時間 2018-09-07

新增事件

事件名稱:

HTTP_木馬后門_Marap.Downloader_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到Marap試圖連接遠程服務器。源IP所在的主機可能被植入了Marap。 Marap是一個新的downloader,以其命令和控制(CC)服務器的參數“param”反向拼寫命名。它是采用C語言編寫的,其中包含了一些值得注意的反分析功能。

更新時間:

20180907

默認動作:

丟棄

 

事件名稱:

TCP_Artica_Web_Proxy_跨站腳本漏洞[CVE-2017-17055]

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Artica Web Proxy遠程代碼執行漏洞攻擊目的IP主機的行為,試圖通過遠程執行任意代碼或命令。 Artica Web Proxy是一套企業級網絡安全和控制解決方案。該方案具有多系統集中管理、網址保護和身份驗證等功能。 Artica Web Proxy 3.06.112911之前的版本中存在跨站腳本漏洞。遠程攻擊者可利用該漏洞以root權限執行任意代碼。

更新時間:

20180907

默認動作:

丟棄

 

事件名稱:

UDP_Teluu_PJSIP_fmtp安全漏洞[CVE-2018-1000099]

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Teluu PJSIP 安全漏洞攻擊目的IP主機的行為。 Teluu PJSIP是一個使用C語言編寫的開源、免費的多媒體通信庫。pjmedia SDP是其中的一個SDP解析器。 Teluu PJSIP 2.7.1及之前的版本中的pjmedia SDP解析存在安全漏洞。攻擊者可借助特制的消息利用該漏洞造成拒絕服務(崩潰)。

更新時間:

20180907

默認動作:

丟棄

修改事件

事件名稱:

TCP_后門_Win32.Remcos_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Remcos。 Remcos是一個功能強大的遠控,運行后可完全控制被植入機器。

更新時間:

20180907

默認動作:

丟棄

 

事件名稱:

HTTP_后門_Downloader.vsrss(白象)_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了vsrss。 vsrss.exe是一個下載執行模塊,該模塊會先創建自身的快捷方式到啟動文件夾,然后設置兩個定時器,第一個定時器每隔240秒會請求URL http://ebeijingcn.live/templates/software.php 然后通過返回的結果判斷是否需要下載執行程序,如果返回的數據里有用于下載的URL,則通過UrlDownLoadToFile下載文件到%AppData%\Microsoft\Network目錄并執行,另外一個定時器每隔180秒執行一次,會將機器名和一些殺軟信息發送至服務器上。

更新時間:

20180907

默認動作:

丟棄

 

上一篇 下一篇