PowerGhost恶意软件其实是一个经过了混淆处理的PowerShell脚本,其中包含的核心组件有:挖矿主程序、mimikatz调试器、一个用于实现反射PE注入的模块、用于利用EternalBlue漏洞的ShellCode以及相关的依赖库链接文件。
这款恶意软件使用了各种无文件技术来隐藏自己的活动踪迹,并利用漏洞和远程管理工具来远程感染目标设备。在实现感染的过程中,恶意软件会运行一个PowerShell脚本,下载了挖矿主程序之后,脚本会立即启动恶意软件,而不是直接将其存入主机的硬盘中。
PowerGhost的主要攻击目标是企业用户,针对该恶意软件所造成的危害,建议企业用户加强内部局域网的安全防护,根据自身需求,合理配置企业级安全防护软件,制定安全防护措施。另外,对于未知或不安全的网站,个人用户不要随意访问,同时安装个人安全防护软件并将病毒库更新至最新版本。
联系方式:
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
办公地址:湖南省邵阳市大祥区邵阳学院七里坪校区图书信息楼
邮编:42200 | 联系电话:0739-5431087
E-mail:wlzx@hnsyu.edu.cn