srvany(srvany是什么)

金秋九月，又是一年開學(xué)季，全國各地大中小學(xué)密集迎來“開學(xué)潮”，同學(xué)們陸續(xù)重返校園，而不法分子也開始蠢蠢欲動，盯上了“開學(xué)經(jīng)濟”，試圖利用非法手段來獲取巨額收益。近日，騰訊智慧安全御見威脅情報中心接到用戶反饋，稱學(xué)校內(nèi)網(wǎng)水卡管理服務(wù)器頻繁出現(xiàn)崩潰情況，經(jīng)學(xué)校網(wǎng)絡(luò)管理人員系統(tǒng)排查，并未發(fā)現(xiàn)有異常問題，初步懷疑內(nèi)網(wǎng)遭到不法黑客攻擊，因此向騰訊智慧安全御見威脅情報中心求助。

經(jīng)騰訊安全技術(shù)專家檢測發(fā)現(xiàn)，該學(xué)校內(nèi)網(wǎng)水卡管理服務(wù)器遭rundllhost.exe挖礦木馬入侵，屬于NSASrvanyMiner挖礦木馬的變種，利用NSA武器工具在內(nèi)網(wǎng)攻擊傳播。由于該服務(wù)器存在未修復(fù)的ms17-010漏洞，因此受到攻擊被利用挖礦。經(jīng)查詢錢包信息發(fā)現(xiàn)，截至目前，NSABuffMiner挖礦木馬已挖礦獲得門羅幣1217個，非法獲利高達115萬元人民幣。

(圖：NSABuffMiner挖礦木馬非法獲利)

目前，騰訊智慧安全御見威脅情報中心已對該挖礦木馬進行全面攔截并查殺，并提醒廣大企業(yè)用戶及時修復(fù)高危漏洞。不法黑客一旦利用這些系統(tǒng)漏洞，除了會植入挖礦木馬外，用戶電腦還可能被植入勒索病毒、成為竊取資料的工具，造成更加嚴重的后果。

據(jù)騰訊安全技術(shù)專家介紹，NSASrvanyMiner挖礦木馬新變種發(fā)動攻擊時會先關(guān)閉防火墻，啟動CPUInfo.exe掃描內(nèi)網(wǎng)機器的445端口，如果端口處于打開狀態(tài)則利用多個NSA武器工具對用戶電腦進行攻擊。同時該挖礦木馬啟動礦機時使用NSSM服務(wù)管理工具，將礦機安裝為系統(tǒng)服務(wù)，此工具具有自動守護目標(biāo)服務(wù)進程功能，能維持挖礦進程運行，可躲避部分殺軟檢測。

值得一提的是，該挖礦木馬為了保證對挖礦資源的獨占，會使用“黑吃黑”、“過河拆橋”等方式阻斷其它挖礦木馬的入侵，查殺30余個同樣是挖礦木馬的進程，并在自身入侵成功后，主動將135、137、138、139、445等危險端口關(guān)閉，防止其它挖礦木馬和自己爭搶挖礦資源。

除此以外，NSABuffMiner挖礦木馬新變種配備了功能強大的NSA漏洞攻擊包，方便其在內(nèi)網(wǎng)攻擊傳播。同時，該挖礦木馬還會檢測多個任務(wù)管理器的進程，一旦用戶發(fā)現(xiàn)系統(tǒng)異常，啟用任務(wù)管理器查看系統(tǒng)資源占用情況時，木馬會立刻嘗試關(guān)閉任務(wù)管理器，若關(guān)閉失敗，木馬會立刻退出，從而迷惑普通用戶。

(圖：騰訊安全企業(yè)級產(chǎn)品御點)

為避免此類不法黑客攻擊事件再次發(fā)生，騰訊電腦管家安全專家、騰訊安全反病毒實驗室負責(zé)人馬勁松建議企業(yè)網(wǎng)管：及時給服務(wù)器打好安全補丁，盡量關(guān)閉不必要的文件共享、端口和服務(wù)，采用高強度的唯一服務(wù)器帳號和密碼并保持定期更換;同時建議安裝御點終端安全管理系統(tǒng)等安全軟件，通過終端殺毒和修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護企業(yè)安全。

---------------------------------------------------------

1.本文援引自互聯(lián)網(wǎng)，旨在傳遞更多網(wǎng)絡(luò)信息，僅代表作者本人觀點，與本網(wǎng)站無關(guān)。

2.本文僅供讀者參考，本網(wǎng)站未對該內(nèi)容進行證實，對其原創(chuàng)性、真實性、完整性、及時性不作任何保證。