360安全周报第32期
(2021.03.12-2021.03.18)
微软本周发布累积更新补丁,修复 Win10 打印机蓝屏Bug
微软于今年3月推出的 KB50008 系列累积更新补丁,在某些打印机上造成了蓝屏(APC_INDEX_MISMATCH for Win32Kfull.sys)的故障,涉及的系统版本从Win10 1803至最新的20H2等。微软于此前确认了这一Bug,并提供了临时修复教程。
本周开始,微软正式推送修复此蓝屏故障的累积更新,补丁号为【KB500156】开头,针对不同的Win10系统版本,对应的修复补丁号如图所示:
即:KB500565,566,567,568 共计4个补丁。目前这4个补丁正在陆续推送中,遇到打印机故障的用户,可通过Win10系统自带的【更新】功能进行检测,修复补丁目前为【可选安装】您会看到类似下面的图片,点击【下载安装】即可解决。
chm文档暗藏远控木马,注入微信窃取隐私
近期,360反病毒团队监测到有不法分子通过微信、企业微信传播一个新的远控木马变种。该变种除具有获取系统信息、窃取文件、远程下发执行、截屏等常见的远控功能外,还增加了对微信的监控窃取功能,获取用户微信中的大量个人信息。
通过对木马传播数据分析发现,该木马攻击目标主要是股票、期货、基金等金融投资相关用户。
该木马除了完备的远程控制功能外,还具备对微信进程进行注入的功能,以此来获取微信数据。一旦远控木马成功注入微信进程,便开始收集用户微信相关的大量信息,然后把截取到的数据发送给控制者。其获取到的微信数据既包括常规的微信头像、微信名称、电话、微信ID信息,也包括获取好友列表信息、群列表信息、群成员列表信息等各种敏感信息。利用这些信息,攻击者可以分析用户日常工作生活信息,甚至制作高仿号等方式实施诈骗等。
目前360已支持对该木马的检测识别,安装有360安全卫士的电脑可直接拦截查杀。在此建议广大用户:
- 安装并确保开启安全软件,保护计算机安全。
- 对于安全软件报毒的程序,不要轻易添加信任或退出安全软件。
- 不要随意打开陌生人发来的链接和文件。
据外媒报道, Win10系统目前预装有三个浏览器。其中微软 Edge 有两款,第三个浏览器是 Internet Explorer,但它是可选的,可以随时启用。虽然 Internet Explorer 不会从 Windows 10 中被移除,但 Microsoft Edge 浏览器即将从两款缩减为一款。
微软 Edge 经典版仍然在 Windows 10 20H2 或更低的版本中徘徊。当你已经转移到 Chromium 版 Edge 时,遗留版本的 Edge 基本上被隐藏,但它仍然在后台活动,占用系统资源。
今年 1 月,微软确认将彻底移除 Edge 经典版,只推广 Chromium 版 Edge。目前在测试版渠道下载的 Win10 Build 19043.899(21H1)中,旧版的 Microsoft Edge 已经完全消失。在测试版更新后,新的 Chromium 版 Edge 会自动安装,无法访问退役的浏览器。
值得注意的是,微软还有计划将旧版本 Windows 10 中的 Edge 经典版删除。随着即将到来的累积更新 (2021 年 4 月星期二补丁),微软 Edge Legacy 将从 Windows 10 20H2、2004 版本和其他版本中彻底删除。
如果你还在使用已停用的浏览器,你将被迫切换到新版本的 Edge 浏览器。如果你已经进行了切换,那么只有遗留版本及其文件(不是你的个人数据)会被删除。
新型勒索病毒软件DearCry利用Exchange漏洞进行部署
据外媒报道,一款名为“DEARCRY”的勒索病毒软件正将Microsoft Exchange Servers作为攻击目标,有一受害者表示他们是通过ProxyLogon漏洞被感染的。经分析,DearCry勒索软件在加载时将试图关闭一个名为“msupdata”的Windows服务,目前尚不清楚这项服务是什么,但它似乎不是一个合法的Windows服务。加密文件时,DearCry将在文件后附加.CRYPT后缀。据了解,DearCry采用AES-256 RSA-2048加密文件,并会在每个文件的开头添加“DEARCRY”字符串。加密计算机后,勒索软件将在Windows桌面创建一个名为“readme.txt”的勒索提示信息,该勒索提示信息包含两个威胁者的邮箱地址和一个唯一的哈希,而且是MD4哈希过的RSA公钥。
虽然不能100%确定是通过Microsoft Exchange ProxyLogon漏洞部署的DearCry。但基于现有信息是很有可能的。且暂未发现该勒索软件任何可以使受害者免费恢复被加密文件的弱点。建议所有组织尽快更新补丁,不仅能保护邮箱不被盗取,还能防止资料被加密。
,
