当前位置:首页 > 吉祥坊wellbet最新版 > 内容

关于预防和排查“H-Worm”远控木马的通知

发布时间 发布在 吉祥坊wellbet最新版

  垫江县网络与信息安全信息通报中心

垫网通〔20167

 


关于预防和排查“H-Worm”远控木马的通知

 

县级各部门、相关单位:

近期,工作发现一种名为H-Worm的远控木马在我国传播,一旦感染了该木马,计算机将被完全控制,危害极大。为防止我县党政机关、企事业单位的重要信息系统遭受攻击,消除该木马程序危害,现将相关情况通知如下:

一、H-Worm木马基本情况

H-Worm是用VBS脚本语言编写的远程控制类木马病毒,通常采用钓鱼邮件、恶意链接和U盘进行传播,可收集用户的计算机名、用户名、操作系统版本、安装的杀毒软件等信息,并可以实现远程文件管理、进程管理、远程执行命令等恶意功能,危害极大。该木马病毒通过读取注册表HKEY_LOCAL_MACHINE\software \脚本名项来判断当前系统是否已经感染,若未感染,则写入该项。然后通过写入注册表项HKCU\Software\microsoft\Current Version\RunHKLM\Software\microsoft\CurrentVersion\Run来实现开机自启动,并将自身拷贝到temp目录和Startup目录下。再循环遍历系统的磁盘驱动器,判断是否有新的移动磁盘接入,如果有则感染到可移动磁盘中。

二、木马程序的预防和排查

请各单位立即针对H-Worm木马开展预防和排查工作:

一是防止木马感染和传播,必须加强安全意识,在日常系统运维和电子文件使用中严格落实“先查杀、后使用”安全措施,不相信、不点击可疑邮件、链接等,正确使用U盘等移动存储介质,定期开展病毒木马查杀工作,切断木马传播途径;

二是对服务器、主机等针对性开展木马排查、清除工作,升级杀毒软件最新病毒木马库进行查杀,尤其注意对系统tempStartup目录,以及HKCU\Software\microsoft\Current Version\RunHKLM\Software\microsoft\CurrentVersion\Run中的键值进行检查,发现异常文件可采用MD5值进行校验(见附件),在网关、主机等网络位置要检查是否出现程序的异常外连情况(如与境外不明IP地址通信、使用1168等不常用端口号等),细致分析、深度排查,彻底消除木马隐患。排查工作中的重要情况,请及时报中心。

 

(通报中心联系人:易科 电话:74686868

附件:H-Worm木马样本MD5

垫江县网络与信息安全信息通报中心       
 

 


垫江县网络与信息安全信息通报中心

201682

 

 

附件:

“H-Worm”木马样本MD5

0aa0ea0b1ba8eb2f355f05ec1981a761

01c034d0effbf218689f6f4678af63cc

1d49b3390b1a8e565ebaaf19a99d0244

2ec0d21e26c19971f255e45c84c5bef8

7f78e0229d3cab555986b721a96fd99f

77b23c74727a09aecab3369aa3bea2c7

94b9f565e06b53d36d018bcd03951398

363e95b5a62a309e1e9ee8e21fb28764

974401db6bf15bc82e5954f9f1d59cd4

bb70089db80ea6afb5d5a12271591df2

c6a2b4e43d2b2f8903310fd23c07a279

c08bb89f74ccb8fdcc9bbf150e7ef18a

c8b137dcad05a61b780b757790c14d13

c59692b91258a5aff9b02449b1109aa0

e0d272892e29220a3aed978e8d972a36

f95f3b5f721a690955b55465bc46ae15

 

 

 

Copyright(c) 2011 All rights reserved. 版权所有 wellbet官方网站
网站备案号:渝ICP备15007405号

渝公网安备 50023102500236号


(浏览本网主页,建议将电脑显示屏的分辨率设置为1024x768)