Satan变种病毒分析处置手册

2018年11月底,国内多个金融客户感染了跨平台的勒索病毒,该病毒是上述蠕虫FT.exe的变种版本,病毒会释放门罗币挖矿程序和勒索软件。该勒索病毒可以在Linux和Windows平台进行蠕虫式传播,并将本地文件加密为.lucky后缀,释放勒索信息文件_How_To_Decrypt_My_File_。
目前黑客的C&C服务器仍然存活,不排除有大面积感染的风险,请相关用户引起关注,及时做好防护措施,相关的IoC信息可参考附录。

■ 危害等级 高,Satan变种病毒已出现新变种,感染范围较广,可以同时感染Linux和Windows主机。
■ TAG Satan、蠕虫病毒、文件加密

 

一. 背景介绍

2018年11月初,绿盟科技发现部分金融客户感染了linux和windows跨平台的蠕虫病毒样本FT.exe,其采用类似Satan勒索病毒的传播渠道,利用多个应用漏洞进行传播。该蠕虫病毒进入系统后无明显破坏行为,仅传播自身。

2018年11月底,国内多个金融客户感染了跨平台的勒索病毒,该病毒是上述蠕虫FT.exe的变种版本,病毒会释放门罗币挖矿程序和勒索软件。该勒索病毒可以在Linux和Windows平台进行蠕虫式传播,并将本地文件加密为.lucky后缀,释放勒索信息文件_How_To_Decrypt_My_File_。
目前黑客的C&C服务器仍然存活,不排除有大面积感染的风险,请相关用户引起关注,及时做好防护措施,相关的IoC信息可参考附录。

二. 病毒分析

2.1 传播方式

Satan病毒家族通过下面8种通用漏洞进行传播。目前发现Satan在linux平台会进行内部IP遍历+端口列表的方式进行漏洞扫描。在windows平台会以IP列表+端口列表的方式进行漏洞扫描。

1. JBoss反序列化漏洞
2. JBoss默认配置漏洞(CVE-2010-0738)
3. Tomcat任意文件上传漏洞(CVE-2017-12615)
4. Tomcat web管理后台弱口令爆破
5. WebLogic 任意文件上传漏洞(CVE-2018-2894)
6. Weblogic WLS 组件漏洞(CVE-2017-10271)
7. Windows SMB远程代码执行漏洞MS17-010
8. Apache Struts2远程代码执行漏洞S2-045
9. Apache Struts2远程代码执行漏洞S2-057
10. Spring Data Commons远程代码执行漏洞(CVE-2018-1273)

2.2 影响范围

Linux系统和Windows系统

2.3 近期版本变更

V1.10
linux和windows跨平台的蠕虫病毒, 进入系统后无明显破坏行为,仅传播自身。

V1.13

增加了勒索病毒模块,可以将本地文件加密为.lucky后缀,释放勒索信息文件_How_To_Decrypt_My_File_。

2.4 病毒行为

由于此次Satan变种病毒可以在Linux和Windows跨平台传播,所以需要对病毒行为进行分别分析。

Satan变种-Linux平台

Satan变种分为4个模块程序,包括ft32,conn32,cry32,mn32。都是32位linux程序,同样每个模块都有对应的64位版本的程序,相应的以64为文件名的后缀。

ft模块

ft32是Satan变种的主模块,负责下载其他模块程序并执行。该程序启动后会检测自身文件名是否为.loop,如果自身文件名不是.loop,会将自身复制到当前目录。同时结束ft32进程,启动.loop程序进行后续行为。
以.loop文件名启动之后,首先会下载mn32/64,conn32/64,cry32/64三个文件,保存到本地,保存的文件名分别为.data,.conn,.crypt。对应的样本代码逻辑如下。

下载其他模块程序完成后,进入sub_804A52A函数,进行后续操作。

第一步,尝试链接CC服务器,尝试对4个IP地址进行HTTP访问,如果此IP地址存活,则将其保存为后续的通讯地址。下图代码为分别对111.90.158.225、107.179.65.195和23.247.83.135进行尝试性HTTP访问,如果通过HTTP请求获取到字符串,则将该IP地址保存为之后的CC服务器通讯地址。

第二步,在sub_8049719函数中使用了三种方式实现开机自启。

1. 首先通过修改计划任务文件,实现开机自启。
2. 通过创建/etc/rc6.d/S20loop服务,实现开机自启。
3. 通过修改rc.local文件,实现开机自启。

第三步,构造通信数据,使用的请求如下。

conn模块

该模块为Lucky样本的漏洞利用模块,自身同样使用upx压缩加壳,脱壳后大小为4000KB。Lucky样本的漏洞利用模块复用了Satan病毒的相关代码,对外进行的攻击类型一致。

此模块运行之后首先获取自身网段的地址,然后加载一个大小为230的端口列表(端口列表见附录C)。通过自身网段的遍历和端口列表的组合,进行端口扫描。分析时样本产生的网络行为。

如果发现可用的IP与端口,则尝试进行触发漏洞。尝试触发的漏洞类型包括以下10种:

1. JBoss反序列化漏洞(CVE-2013-4810、CVE-2017-12149)
2. JBoss默认配置漏洞(CVE-2010-0738)
3. Tomcat任意文件上传漏洞(CVE-2017-12615)
4. Tomcat web管理后台弱口令爆破
5. WebLogic 任意文件上传漏洞(CVE-2018-2894)
6. Weblogic WLS 组件漏洞(CVE-2017-10271)
7. Windows SMB远程代码执行漏洞MS17-010
8. Apache Struts2远程代码执行漏洞S2-045
9. Apache Struts2远程代码执行漏洞S2-057
10. Spring Data Commons远程代码执行漏洞(CVE-2018-1273)

下图为利用Tomcat上传漏洞是上传的jsp文件。

此模块除了尝试以上对web中间件的扫描攻击,还会对linux的主机口令尝试爆破。爆破的用户包括以下4个:

使用的弱口令列表如下:

cry模块

此模块用于对本地文件的加密,下图为cry模块加密时的白名单,如果被加密的文件保存在下面7个路径中,则不进行加密。

在加密的过程中会将加密文件的参数信息上传到攻击者的111.90.158.225服务器,具体发送的请求如下,其中“xxx”是样本在运行时动态拼接的数据。

mn模块

此模块是一个xmrig开源挖矿程序,其代码发布在https://github.com/xmrig/xmrig。挖矿地址配置信息如下:

Satan变种-Windows平台

fast.exe

fast.exe是Satan变种的主模块,主要负责下载conn.exe和srv.exe,并使用ShellExecuteA函数对程序进行启动,其中srv.exe启动时使用install参数。

cpt.exe

cpt.exe主要负责加密功能。
选择加密文件的后缀列表如下:

为了保证系统可以正常运行,样本不会加密以下目录中的文件:

在启动加密之前,样本会通知C&C服务器加密开始,并将status参数设置为begin:

通知流量如下:

样本运行后会生成随机字符串,然后取前32字节作为密钥,使用AES_ECB算法,每次读取16字节对文件进行加密:

所有文件使用同一密钥进行加密,加密成功后样本将原文件重命名为如下形式:[nmare@cock.li]filename.tRD53kRxhtrAl5ss.lucky。完成所有加密工作后,会告知C&C服务器加密完成,并将status参数设置为done:

当全部文件加密完成,样本将用于文件加密的AES密钥使用RSA算法打包并添加至文件末尾,通常,用户需要支付赎金方能得到用于解密文件的AES密钥。

conn.exe

conn.exe是漏洞利用工具包的母体,释放永恒之蓝的漏洞利用工具和windows口令转储工具mmkt.exe。之后启动mmkt.exe和blue.exe程序,其中blue是永恒之蓝利用工具,尝试通过ms17-010感染其他机器。

conn.exe运行之后会在内部网段的B段进行445端口扫描,尝试进行ms17-010漏洞利用。同时使用自身IP列表+端口列表组合的方式,尝试对外部网络进行漏洞攻击。

srv.exe

下载cpt.exe加密组件和mn32.exe挖矿程序。

不带参数执行,发送受害者主机相关信息

更新srv.exe程序,并重启服务。

带参数执行,参数为install或者removesrv,主要负责创建和删除服务Logs Service。

mn32.exe

此模块是一个xmrig开源挖矿程序,其代码发布在https://github.com/xmrig/xmrig。挖矿地址配置信息如下:

conn模块对各漏洞的攻击代码

JBoss反序列化漏洞利用

JBoss默认配置漏洞(CVE-2010-0738)

Tomcat任意文件上传漏洞(CVE-2017-12615)

Tomcat web管理后台弱口令爆破

WebLogic 任意文件上传漏洞(CVE-2018-2894)

Weblogic WLS 组件漏洞(CVE-2017-10271)

Windows SMB远程代码执行漏洞MS17-010

Apache Struts2远程代码执行漏洞S2-045

Apache Struts2远程代码执行漏洞S2-057

Spring Data Commons远程代码执行漏洞(CVE-2018-1273)

三. 处置方案

3.1 检测方法

网络层:
通过出口防火墙或其他类似安全设备,检测是否存在JBoss反序列化漏洞等多种漏洞利用行为,检测是否存在端口扫描行为。对以下域名/IP的请求进行检测,以发现其他感染主机(完整IP列表见附录)。

IP HTTP请求
111.90.158.225 http://111.90.158.225/wversion
107.179.65.195 http:// 107.179.65.195/wversion
23.247.83.135 http:// 23.247.83.135/wversion
111.90.158.224 http:// 111.90.158.224/wversion

主机层:
linux
使用命令ps -ef | grep loop和ps -ef | grep conn查看是否存在loop以及conn进程。
使用命令find / -name “.loop”和find / -name “.conn”以及find / -name “.hash”全盘搜索是否存在.loop、.conn、.hash文件。
用命令crontab -l 查看是否存在异常启动项.loop 。
检查是否出现以.lucky后缀名的文件
检查是否存在/etc/rc6.d/S20loop文件

windows
查看C:\目录是否存在fast.exe文件或者_How_To_Decrypt_My_File_文件。
查看C:\Program Files\Common Files\System目录是否存在conn.exe、srv.exe文件。
查看C:\user\all users或C:\ProgramData目录下是否存在永恒之蓝工具包:

查看系统中是否存在blue.exe、fast.exe、star.exe、srv.exe、conn.exe、cpt、mmkt.exe、等6个进程。
查看注册表中是否存在异常注册表键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Logs Service。是否存在Logs Service服务

应用层:
Tomcat服务
登录控制台查看是否存在异常war包。
其他服务
由于该木马集成了以下漏洞攻击工具,若系统部署Jboss、Weblogic服务,检查系统jboss、weblogic目录是否存在异常war包。

3.2 清理方案

Linux

1、 断网隔离防止在木马查杀过程中二次感染。
2、 检查crontab文件和rc.local文件,删除lucky病毒的相关启动信息。
3、 使用kill -9 pid 命令结束.loop、.conn32/64、.cry32/64进程。
4、 检查/etc/rc6.d/S20loop文件指向的位置,删除该目录下相关的样本程序文件,包括.loop,.conn32/64,.cry32/64,最后删除/etc/rc6.d/S20loop文件。
5、 修改操作系统ssh服务口令为强口令。

Windows手动清理

6、 断网隔离防止在木马查杀过程中二次感染。
7、 因为该木马集成弱口令扫描功能以及mmkt.exe密码抓取工具,修改系统密码防止在木马查杀过程中二次感染。
8、 结束系统中blue.exe、fast.exe、star.exe、srv.exe、conn.exe、mmkt.exe、cpt.exe等进程。
9、 删除C:\目录下的fast.exe文件。
10、 删除C:\Program Files\Common Files\System目录下的conn.exe、srv.exe、cpt.exe文件。
11、 删除查看C:\user\all users或C:\ProgramData目录下的永恒之蓝工具包(根据写入时间判断,避免误删系统正常文件):

12、 删除木马创建的注册表键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Logs Service。
13、 安装针对ms17-010漏洞(永恒之蓝利用工具)的操作系统补丁。
14、 修改操作系统密码为强口令。

Windows脚本清理

(脚本代码文件见附录D)

Tomcat服务

1、 登录tomcat控制台对异常war包进行删除。
2、 根据异常war包确认对应的jsp、java、class文件,并全盘搜索删除。
3、 修改tomcat服务控制台口令为强口令。

其他服务

对jboss、weblogic漏洞进行补丁更新并修改后台管理密码为强口令。

3.3 文件解密

根据绿盟科技安全研究团队的研究结果,该勒索软件依赖于AES算法对文件进行加密,然而通过分析样本代码可以看出,样本内存在较严重的内存空间浪费和野指针问题,这一点在该家族的windows版本中尤为突出,成为该勒索软件的致命缺点,直到样本退出时,原始的AES密钥依旧留在内存中没有擦除。因此如能在样本完成加密后第一时间对物理内存进行取证分析,即可从物理内存中提取出密钥字符串对加密文件进行解密。

四. 防护方案

4.1 防护建议

1、更新Apache Structs2组件版本到最新,修复(s2-045)(s2-046)(s2-057)漏洞;
2、更新JBoss版本到最新,修复(CVE-2013-4810) (CVE-2010-0738)漏洞;
3、更新Tomcat修复任意文件上传漏洞(CVE-2017-12615);
4、更新Weblogic版本修复任意文件上传漏洞(CVE-2018-2894)和WLS 组件漏洞(CVE-2017-10271);
5、更新系统补丁,修复ms17-010漏洞,或者关闭不必要的SMB服务。
6、加强主机账户口令复杂度及修改周期管理,并尽量避免出现通用或规律口令的情况;
7、修改系统管理员默认用户名,避免使用admin、administrator、test等常见用户名;
8、安装具备自保护的防病毒软件,防止被黑客退出或结束进程,并及时更新病毒库;
9、加强企业员工安全意识培训,不轻易打开陌生邮件或运行来历不明的程序;
10、定时对重要业务数据进行备份,防止数据破坏或丢失。
11、不同业务网络之间做好VLAN或端口隔离,防止病毒在内部跨网段传播。
12、关注漏洞预警信息,及时修复重要漏洞,如绿盟科技安全预警公众号。

4.2 漏洞修复方案

利用漏洞 影响范围 修复方案

利用漏洞 影响范围 修复方案
JBoss反序列化漏洞 Jboss多版本 升级到最新Jboss版本 Jboss-EAP-7.1
JBoss默认配置漏洞(CVE-2010-0738) JBoss企业应用平台4.3.0 x86_64
JBoss企业应用平台4.3.0 i386
升级到最新Jboss版本 Jboss-EAP-7.1
Tomcat任意文件上传漏洞(CVE-2017-12615\CVE-2017-12617) Apache Tomcat 7.0.0 – 7.0.81 禁用PUT方法,升级Tomcat版本 Tomcat 7.0.92 https://tomcat.apache.org/download-70.cgi
Tomcat web管理后台弱口令爆破 Tomcat 建议用户直接登录服务器进行应用部署,禁用Tomcat Web管理页面的登录功能,或使用复杂口令。
Weblogic WLS组件漏洞(CVE-2017-10271) Oracle Weblogic Server 10.3.6 0
Oracle Weblogic Server 12.2.1.2
Oracle Weblogic Server 12.2.1.1
Oracle Weblogic Server 12.1.3.0
及时下载更新包,并升级WebLogic。升级过程可参考如下链接:http://blog.csdn.net/qqlifu/article/details/49423839官网通告https://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
WebLogic 任意文件上传漏洞(CVE-2018-2894) Oracle Weblogic Server 12.1.3.0 Oracle Weblogic Server 12.2.1.2 Oracle Weblogic Server 12.2.1.3 参阅官网补丁更新通告https://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
Apache Struts2远程代码执行漏洞S2-045/S2-046 Apache Struts 2.3-2.3.31
Apache Struts 2.5-2.5.8
升级Struts框架版本 2.5.18:http://mirrors.hust.edu.cn/apache/struts/2.5.18/struts-2.5.18-all.zip
2.3.36:http://mirrors.hust.edu.cn/apache/struts/2.3.36/struts-2.3.36-all.zip
1.3.10:http://mirrors.hust.edu.cn/apache/struts/1.3.10/struts-1.3.10-all.zip
Apache Struts2远程代码执行漏洞S2-057 Apache Struts 2.3-2.3.34
Apache Struts 2.5-2.5.16
升级Struts框架版本 2.5.18:http://mirrors.hust.edu.cn/apache/struts/2.5.18/struts-2.5.18-all.zip
2.3.36:http://mirrors.hust.edu.cn/apache/struts/2.3.36/struts-2.3.36-all.zip
1.3.10:http://mirrors.hust.edu.cn/apache/struts/1.3.10/struts-1.3.10-all.zip
Spring Data Commons远程代码执行漏洞(CVE-2018-1273) Spring Data Commons 1.13 – 1.13.10, 2.0 – 2.0.5 升级到包含Spring Data Commons的Apache Ignite 2.6或更高版本
Windows SMB远程代码执行漏洞MS17-010 Windows多版本 安装各系统版本对应MS17-010补丁,补丁列表见附录
系统账户弱口令爆破 Windows多版本 加强主机账户口令复杂度及修改周期管理,并尽量避免出现通用或规律口令的情况

4.3 产品防护方案

绿盟科技入侵防护产品(IPS)可对有效的阻断此病毒的传播,请部署有IPS的用户及时更新防护规则,对应规则编号如下:
漏洞 IPS规则编号

漏洞 IPS规则编号
JBoss反序列化漏洞(CVE-2013-4810) 67542
JBoss默认配置漏洞(CVE-2010-0738) 67440

67441

67442

Tomcat任意文件上传漏洞(CC 24101
Weblogic WLS 组件漏洞(CVE-2017-10271 24207
Windows SMB远程代码执行漏洞(Shadow Brokers EternalBlue)(CVE-2017-0144) 23994
Struts2远程命令执行漏洞(s2-045)(s2-046)(CVE-2017-5638) 23986
Struts2远程命令执行漏洞(CVE-2018-11776)(S2-057) 24298

最新的IPS产品规则可到下面的链接下载:

入侵防护系统(IPS)http://update.nsfocus.com/update/listIps

附录A 病毒样本信息

ft 32 md5 8d3c8045df750419911c6e1bf493c747
sha1 58f91b6591c65357dbb8fdd4e06ffbc8bdab9ff3
sha256 97f9c8f59717c376c334e955737f8d1d94375f5692a4a062c06ba5511fa561a4
64 md5 e145264cffa3c01a93871b27a4f569cc
sha1 53bddb169487ece1c951f0e2ac2f53b624d59b15
sha256 3d3bd8aff233c48f95f1d3dea0e5994c8cc0de1521af28ee19fad38ffb49a67c
cry 32 md5 d1ac4b74ee538dab998085e0dfaa5e8d
sha1 47689e8fa55241d16198db2e733a2ec0b09f46d7
sha256 e67aecfe212f36f79628b2ca8211fb1635e3da38a043ccce9ae085e7c0459e44
64 md5 a8cab7c48d687b510fb8eaf053bd5722
sha1 d9901f510c04b1ea99e7dab91a91863ebfefc251
sha256 cba2deb38b87d40307d784b67fda48bedee211f1037f4cc00629b3a2635eab88
conn 32 md5 84ddee0187c61d8eb4348e939da5a366
sha1 d6eb4188655775e01ac52c4ade71bbc8e96cb75d
sha256 8f6c5027de20d6fbb4d87add2896363567814ac5faa7ddd3bae3cd56dc8c5bbb
64 md5 4116b90d7b1fea1a31dcf4ead3ac17e2
sha1 24bbe652855641dd5ba950006d97d971a1072f08
sha256 a51625479cbcd4b1a6ad27e0f63636926b9785fcdc1011375e4eed2b253f900b
mn 32 md5 72919d2e7c604a27a2bf1ffe610a71d2
sha1 bcf07d1d908599f96275fd26d8d68e73468c0541
sha256 0ef95cf1e8acf19a321326e418289f622ad8a5b1b6c5d0bec6a6b06011aec0a1
64 md5 f99d65c45260453ddf40dd5af0e4975e
sha1 daddb0e2cdc187b2185388eaa637f605ebd3fec9
sha256 68f2602d0ad904f6e883228320c97a0b1da58d757b6803c030791b43b744eda1
fast.exe md5 7fcd8a6c72c06d1892132d5e1d793b4b
sha1 104a5452b99da8546e07c19bd0e711b1a1a6bc51
sha256 f3b5aa8c014cf9fbb35062a663cd40d5e845a98e48819a3f488755d0ba6f08b1
cpt.exe md5 bee0dcb9f6e79a68452eb035ff8bee8b
sha1 19fe5d38bafb6f78e6e87297c13c13238b0a7de2
sha256 987a46bb093ccd4d23b6fee98474a00557a2ce4c531f294e57091f455435c928
conn.exe md5 34cdbbda5f7c02ca179a366232adbb96
sha1 50d1dbff0f4cecbd8649ef54ad2084376795db5e
sha256 6f69d97a8407fe9bab7cbb068386e7af2ff805d9509c0061c876a94d30a3f809
srv.exe md5 161090cac8c73b249e8b9a939ab4b665
sha1 a32def1dee2280dfd1b8d911b8358877df6e8d0e
sha256 4d935d56592d4a5513dd6e4182aaec3422205dc9d8dcc4f17eaa7a6b194b9624

附录B 加密白名单

Linux要加密的文件后缀:

Linux系统目录白名单:

Windows要加密的文件后缀:

Windows系统目录白名单:

附录C Linux conn模块漏洞扫描端口列表

 

附录D Windows清除脚本

附录E MS17-010补丁对应和下载列表

操作系统版本 对应KB 补丁下载链接
Windows XP SP3 x86 KB4012598 http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe
Windows XP SP2 x64 KB4012598 http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-jpn_9d5318625b20faa41042f0046745dff8415ab22a.exe

Windows XP Embedded KB4012598 http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-chs_41935edbcd6fa88a69718bc85ab5fd336445e7f9.exe
Windows Server 2003 x64 KB4012598 http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe
Windows Server 2003 x86 KB4012598 http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe
Windows Vista Service Pack 2 KB4012598 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Vista x64 Edition Service Pack 2 KB4012598 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows Server 2008(用于 32 位系统)Service Pack 2 KB4012598 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Server 2008(用于基于 x64 的系统)Service Pack 2 KB4012598 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2 KB4012598 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-ia64_83a6f5a70588b27623b11c42f1c8124a25d489de.msu
Windows 7(用于 32 位系统)Service Pack 1 KB4012212 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Windows 7(用于基于 x64 的系统)Service Pack 1 KB4012212 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 KB4012212 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 KB4012212 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu
Windows 8.1(用于 32 位系统) KB4012213 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
Windows 8.1(用于基于 x64 的系统) KB4012213 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Windows Server 2012 KB4012214 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
Windows Server 2012 R2 KB4012213 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
Windows 10(用于 32 位系统) KB4012606 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Windows 10(用于基于 x64 的系统) KB4012606 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 版本 1511(用于 32 位系统) KB4013198 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
Windows 10 版本 1511(用于基于 x64 的系统) KB4013198 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 版本 1607(用于 32 位系统) KB4013429 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
Windows 10 版本 1607(用于基于 x64 的系统) KB4013429 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu
Windows Server 2016(用于基于 x64 的系统) KB4013429 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

 

Satan变种病毒分析处置手册完整版下载

Satan变种病毒分析处置手册-绿盟科技

文章分类:未分类.
转载声明:请注明 “转自绿盟科技博客”:.
文章收录:

发表评论