腾讯安全：WinRAR漏洞被利用传播木马“root”比特币钱包

自从全球经典的压缩包管理器WinRAR被曝发现高危远程代码执行漏洞后，这些高危漏洞就成为了众多“无所事事”的网络攻击者的“新宠”。 近日，腾讯安全安全威胁情报中心发现一种名为“Lime-RAT”的远程控制木马通过WinRAR高危漏洞（CVE-2018-20250）进行恶意传播。 木马可以通过修改配置信息或接收远程指令远程控制中毒计算机，甚至可以监控用户剪贴板，在用户进行数字货币交易时“抢劫”用户，对用户信息和财产造成极大威胁安全。 威胁。

目前，腾讯电脑管家已对木马进行全面拦截查杀，建议用户及时防范。

（图：腾讯电脑管家全面拦截查杀病毒）

由于本次披露的WinRAR高危漏洞源于UNACEV2.dll代码库14年未更新利用漏洞赚取比特币违法吗判几年，WinRAR 5.7之前的低版本成为攻击者恶意传播的“主战场”。 据了解，WinRAR高危漏洞的出现，使得攻击者可以根据公开的漏洞信息，绕过系统权限，故意构造ACE格式的攻击文件，诱导用户打开，实现对WinRAR软件的直接运行，并可植入恶意程序到Windows系统启动文件夹，下次启动电脑时，通过恶意软件实现对用户电脑的远程控制。

腾讯电脑管家安全专家表示，Lime-RAT远程控制木马的运行基本遵循上述逻辑。 当用户使用存在高危漏洞的压缩/解压软件，打开攻击者故意构造的压缩文件时，携带恶意代码的文件此时进入系统。 后续会为用户系统添加启动项，每45分钟生成一个定时启动任务。 至此，Lime-RAT远程控制木马已成功植入用户电脑系统。 一旦用户电脑重启，远程控制木马就可以成功运行。

（图：含有Lime-RAT挖矿木马的恶意压缩包）

Lime-RAT作为Windows平台上一种简单而强大的远程木马利用漏洞赚取比特币违法吗判几年，一旦被触发，攻击者可以对用户电脑进行文件加密勒索、挖矿、下载其他恶意组件等远程操作，对用户造成极大的危害信息安全。 . 值得一提的是，Lime-RAT木马还可以监控剪贴板。 当发现用户主机正在进行数字货币交易时，会更换钱包地址，达到“抢钱”的目的。 它对交易和比特币矿工构成严重威胁。

目前，隐藏在压缩文件WinRAR漏洞中的病毒、木马攻击还比较活跃，给用户带来了一定的安全隐患。 如何有效抵御非法黑客攻击？ 腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒用户警惕来历不明的压缩文件，不要随意打开不明文件，并建议使用腾讯电脑管家等安全软件对下载的文件进行监控监控扫描查杀，可以直接防御此类木马入侵。

另外，用户应尽快将WinRAR更新至最新版本，或直接删除现有WinRAR安装目录下的UNACEV2.DLL文件，可有效防止攻击者入侵。 腾讯电脑管家将密切关注“Lime-RAT”远程控制木马的进展，尽快为用户提供解决方案和防御方案。