北京时间2017年8月2日,安天公司向CNCERT通报了新型DDoS攻击木马“魔鼬”的有关情况。经CNCERT验证,已发现我国6万余个IP地址感染了“魔鼬”木马。现将有关情况通报如下:
一、监测情况
北京时间2017年8月2日,安天公司发现一个新型DDoS攻击木马“魔鼬”,并第一时间向CNCERT通报了该木马的有关情况。
通过对样本分析可知,该木马的一个控制端地址为www.linux288.com。该域名注册于2017年1月3日。CNCERT监测结果显示,我国已有6.4万余个IP地址受控于“魔鼬”木马。其中,受控IP地址数量最多的省份为广东、江苏、浙江,占比分别为18.7%,9.3%和7.5%。
二、处置情况及建议
CNCERT已在第一时间处置了“魔鼬”木马的控制域名www.linux288.com。建议尽快排查自身网络内是否存在上述控制域名访问记录,并更新安全防护软件和特征库到最新版本。
CNCERT后续将密切监测和关注相关情况。请国内相关单位做好信息系统应用情况排查工作,如需技术支援,请联系 CNCERT。电子邮箱: cncert@cert.org.cn,联系电话: 010-82990999。
2017年8月2日开始,一款名为“魔鼬”的木马在互联网大规模传播。“魔鼬”木马可控制感染电脑对外发动拒绝服务攻击,具有潜在危害大、传播范围广等特点。8月3日至今,国家互联网应急中心监测发现我国境内有9余万台电脑感染了此木马。为此,国家互联网应急中心开通了“魔鼬”木马感染数据免费查询服务,点击网址http://d.cert.org.cn/moyou即可查询您使用的IP地址是否受到木马感染。如果您有意见或建议,欢迎通过电话 010-82990999或邮箱cncert@cert.org.cn与国家互联网应急中心联系。
说明:
1、“魔鼬”木马暂只能感染Windows系统,请您在Windows电脑浏览器中打开查询页面进行查询,地址:http://d.cert.org.cn/moyou。
2、如果您使用宽带拨号上网或手机上网,由于IP地址经常变化,会导致查询结果不准确,仅供参考。