首页 > 技术支持 > 升级公告 > 每周升级公告

2019-04-12

发布时间 2019-04-12

新增事件

事件名称:

HTTP_WordPress_Loco_Translate_2.2.1_本地包含漏洞

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用WordPress插件Loco Translate 2.2.1本地文件包含攻击目的IP主机的行为,试图通过对特定参数传入恶意代码或命令来入侵目的IP主机。

更新时间:

20190412

默认动作:

丢弃

 

事件名称:

HTTP_zzzphpv1.6.1_远程代码执行漏洞

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用zzzphpv1.6.1远程代码执行漏洞攻击目的IP主机的行为。

更新时间:

20190412

默认动作:

丢弃

 

事件名称:

HTTP_木马后门_SappyCache_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马SappyCache试图连接远程服务器。源IP所在的主机可能被植入了SappyCache

SappyCache是一个木马下载者,运行后上传系统信息,并根据C&C返回数据下载其它恶意样本。SappyCache很可能是朝鲜APT组织Lazarus所开发使用,主要通过CVE-2018-20250漏洞进行传播。

更新时间:

20190412

默认动作:

丢弃

 

事件名称:

TCP_木马后门_DataMilk.Stealer_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DataMilk.Stealer

DataMilk.Stealer是基于CSharp的木马,运行后下载核心模块MatherFuckerAv.dll。主要功能都在该dll里实现,包括窃密和远控等。可窃取主流浏览器、Wallets等客户端保存的账号密码。

更新时间:

20190412

默认动作:

丢弃

 

事件名称:

HTTP_木马_Drun.Downloader_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马Drun.Downloader试图连接远程服务器。源IP所在的主机可能被植入了Drun.Downloader

Drun.Downloader是一个木马下载者,运行后上传系统信息,并根据C&C返回数据下载其它恶意样本。

更新时间:

20190412

默认动作:

丢弃

修改事件

事件名称:

TCP_后门_PcClient.Rat_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。

PcClient.Rat是一个多模块后门。运行后可以完全控制被感染机器。向系统目录释放一个dll以及.sys文件,创建系统服务,去加载该dll。会尝试记录按键信息并上传。

更新时间:

20190412

默认动作:

丢弃

 

事件名称:

HTTP_后门_Win32.Sakula_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。

Win32.Sakula是一个后门,运行后允许攻击者完全控制被植入机器。主要通过IE 0day漏洞CVE-2014-0322传播。

更新时间:

20190412

默认动作:

丢弃

 

事件名称:

TCP_后门_Win32.CodeShell_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CodeShell

CodeShell是一个功能非常强大后门,可完全控制被植入机器。

更新时间:

20190412

默认动作:

丢弃

 

事件名称:

HTTP_后门_Arsvbsloader_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Ars vbs loader

Ars vbs loader是基于vbs脚本的后门,功能非常强大。有下载、更新自身、卸载自身、发起DDoS攻击等功能。也支持插件。

更新时间:

20190412

默认动作:

丢弃

 

上一篇 下一篇