首頁 > 技術支持 > 升級公告 > 每周升級公告

2019-09-29

發布時間 2019-09-29

新增事件


事件名稱:

HTTP_后門_phpStudy攻擊嘗試_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到攻擊者在向使用phpStudy的網站發送特定數據,以觸發惡意后門功能。

著名的PHP調試環境程序集成包phpStudy軟件被篡改植入了后門。攻擊者替換了php_xmlrpc.dll實現后門代碼的植入和駐留。攻擊者向使用了被篡改的phpStudy的網站發送特定數據,即可觸發后門執行。后門功能主要為收集用戶信息、執行CC端攻擊者下發的遠程PHP腳本。

更新時間:

20190929

默認動作:

通過













事件名稱:

DNS_后門_phpStudy_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到后門phpStudy在向DNS服務器請求解析其C&C服務器。

著名的PHP調試環境程序集成包phpStudy軟件被篡改植入了后門。攻擊者替換了php_xmlrpc.dll實現后門代碼的植入和駐留。后門功能主要為收集用戶信息、執行CC端攻擊者下發的遠程PHP腳本。

更新時間:

20190929

默認動作:

丟棄












修改事件


事件名稱:

TCP_后門_Gh0st_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

該事件源IP所在的主機可能被植入了Gh0st遠控程序,可以對遠程主機進行任意操作。

特洛伊木馬(Trojan)是后門程序的一種。典型的木馬程序為服務器/客戶端結構,一般情況下入侵者通過利用某種漏洞取得主機的控制權后,設法在被攻擊的主機上運行木馬程序的服務器端,之后就可以從遠程利用客戶端程序通過對主機上的服務器端程序進行訪問而完全控制該主機,在管理員毫無所知的情況下執行任意程序、訪問任意文件等各種非法操作。因此木馬程序是一種危害極大的惡意程序,如果發現主機上存在木馬程序,則主機肯定已經遭到了入侵,需要盡快采取措施。

更新時間:

20190929

默認動作:

丟棄

















事件名稱:

TCP_后門_DDoS.Win32.Nitol_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬。

DDoS.Win32.Nitol是近來最活躍的惡意DDoS攻擊家族之一。

DDoS.Win32.Nitol連接遠程服務器,接收黑客指令,向目標域或網站發起DDoS攻擊。還可以下載其他病毒到被感染機器。

更新時間:

20190929

默認動作:

丟棄












事件名稱:

TCP_后門_Linux.BillGates_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了后門BillGates。

BillGatesLinux平臺下的一個僵尸網絡,主要功能是針對指定目標進行DDoS攻擊。

更新時間:

20190929

默認動作:

丟棄











事件名稱:

TCP_后門_Win32.KilerRat_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了后門KilerRat。

KilerRat是一個功能非常強大的后門,CSharp語言編寫。運行后,可以完全控制被植入機器。

更新時間:

20190929

默認動作:

丟棄











事件名稱:

TCP_后門_Linux.XOR.DDoS_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Linux.XoR.DDoS。

Linux.XoR.DDoS是一個僵尸網絡,主要功能是對指定目標主機發起DDoS攻擊。

更新時間:

20190929

默認動作:

丟棄











事件名稱:

TCP_后門_Win32.Remcos_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Remcos。

Remcos是一個功能強大的遠控,運行后可完全控制被植入機器。

更新時間:

20190929

默認動作:

丟棄










事件名稱:

TCP_木馬后門_Win32/Linux_ircBot_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到ircBot試圖連接遠程服務器。源IP所在的主機可能被植入了ircBot。

ircBot是基于irc協議的僵尸網絡,主要功能是對指定目標主機發起DDoS攻擊。還可以下載其他病毒到被植入機器。

更新時間:

20190929

默認動作:

丟棄











事件名稱:

TCP_后門_njRat變種_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了njRat變種。

njRat是一個CSharp語言編寫的后門,功能異常強大,可完全控制被感染機器。

可以竊取敏感信息,如鍵盤記錄、主流瀏覽器(Firefox、Google Chrome、Opera)保存的密碼、焦點窗口標題等。目前已經出現很多njRat變種。

更新時間:

20190929

默認動作:

丟棄












事件名稱:

HTTP_木馬后門_reGeorg-v1.0_后門連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到源IP主機正在連接目的主機上的reGeorg-v1.0木馬后門文件,向內網主機發送特定連接指令。

reGeorg-v1.0木馬是黑客常用的一種內網滲透流量轉發木馬,攻擊者通過上傳該木馬文件到Web服務器,然后在本地通過特定攻擊腳本連接服務端的木馬文件進行內網流量轉發。攻擊者企圖通過這種方式繞過內網防護設備以Web服務器為跳板攻擊其他內網主機,試圖獲取內網其他服務器的控制權。攻擊者確認服務器上存在該木馬文件之后,會通過使用reGeorgSocksProxy.py、Proxifier等工具設置連接,向內網主機發送特定攻擊指令。

更新時間:

20190929

默認動作:

丟棄






上一篇 下一篇