目前被检测到的Meltdown、Spectre恶意软件样本已达上百个
首页 > 观测 > 数码科技    作者:剧毒术士马文   2018年2月5日 0:48 星期一   热度:5049°   7条评论    
时间:2018-2-5 0:48   热度:5049° 

本文地址:http://www.moepc.net/?post=4290

据AV-Test实验室报告称,通过分析病毒库他们发现自从1月7日至1月22日之间,利用Meltdown和Spectre的恶意软件样板已达119个,并预计接下来特殊木马、下载器和后门的数量还会攀升。


点击查看原图


比如VirusTotal上的这个.EXE恶意软件,运行的首行恶意代码就是通过CMD使用WINAPI运行“IsProcessorFeaturePresent”,很明显是在试图收集CPU信息,为了入侵系统。【会返回各项关于处理器的信息的值,比如各项指令和功能的支持/启用情况


点击查看原图


这些样本中有可以在Linux上运行的,也有Windows的。


比如bashware,可以通过Windows System for Linux (WSL)在Windows上运行Linux才能运行的代码,反病毒软件无法有效防范这类混合系统中的恶意软件。还例如通过浏览器运行恶意JavaScript代码,尽管各家都有放出新的打了补丁的浏览器版本,总是有人不会去更新,这就很危险了。




如何确认系统是安全的呢?


可以通过更简单的InSpectre 图形化界面:https://www.grc.com/inspectre.htm


下载地址:https://www.grc.com/files/InSpectre.exe


img004.png



也可以通过Windows PowerShell来确认


操作系统版本要求:
Windows 10 (RTM, 1511, 1607, 1703, 1709)
Windows 8.1
Windows 7 SP1

安装2018年1月3日的安全更新


然后运行PowerShell,下载模块

Import-Module PowerShellGet


安装PowerShell模块
PS > Install-Module SpeculationControl

运行PowerShell模块,验证保护是否启用
PS > Get-SpeculationControlSettings

会显示如下代码:
PS C:\> Get-SpeculationControlSettings

Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True


Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID optimization is enabled: True


是True的就代表开启了。完全修复需要全部为Ture,AMD处理器不需要修复Meltdown [CVE-2017-5754,rogue data cache load],所以VA shadowing为False,下面也不会显示。



Fortinet发现的恶意软件签名:

Riskware/POC_Spectre
W64/Spectre.B!exploit
Riskware/SpectrePOC
Riskware/MeltdownPOC
W32/Meltdown.7345!tr
W32/Meltdown.3C56!tr
W32/Spectre.2157!tr
W32/Spectre.4337!tr
W32/Spectre.3D5A!tr
W32/Spectre.82CE!tr
W32/MeltdownPOC



本文地址:http://www.moepc.net/?post=4290

via:blog.fortinet.com

avlab.pl

MOEPC.NET整理编译,转载请保留出处。

二维码加载中...
本文作者:剧毒术士马文      文章标题: 目前被检测到的Meltdown、Spectre恶意软件样本已达上百个
本文地址:http://www.moepc.net/?post=4290
声明:若无注明,本文皆为“MoePC.net”原创,转载请保留文章出处。

WRITTEN BY

avatar
liubeixiSafari 602.1Iphone 10_3_1 like Mac OS X) AppleWebKit2018-02-06 00:40
我們這些還停留在ivb、hsw的破電腦就不要指望有什麽補救方法了
剧毒术士马文2018-02-06 01:45
@liubeixi:补救倒是有,系统补丁和浏览器补丁是都能用的
只是BIOS的微码补丁就gg了...至少Haswell还有点希望
老架构性能损失稍微大点
wangbaisen1990Google Chrome 57.0.2987.108Linux2018-02-06 09:31
@剧毒术士马文:3820打上windows10系统补丁之后
传输扫描的图片超过200张之后机械硬盘占用100%……
这已经是muther fvck级别了……
剧毒术士马文2018-02-06 23:03
@wangbaisen1990:这是让你换SSD
wangbaisen1990Google Chrome 57.0.2987.108Linux2018-02-07 07:17
@剧毒术士马文:仓库盘换ssd,换不起,换不起
THzGoogle Chrome 61.0.3163.79Windows 72018-02-05 11:32
终于找到理由换电脑了,就等ZEN 2
剧毒术士马文2018-02-06 01:41
@THz:Zen 2桌面版要等挺久
Zen+都还没发

返回顶部    首页     管理   注册   
版权声明       pw:mykancolle.com或moepc.net (有时需加www.) 若被菊爆请留言补档
内容来源于网络,并不代表本站赞同其观点和对其真实性负责。
如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容。
本站资源仅为个人学习测试使用,请在下载后24小时内删除,不得用于商业用途,否则后果自负,请支持正版!
illust@mocha/Ryohka
Feel free to use your Adblock, we don't have any ads.
Foreign visitors, if you have any questions, feel free to leave a comment in English/Japanese/German.
(just copy and paste one Chinese character cauze the anti-spam settings.)   sitemap