近期,火絨安全團隊截獲蠕蟲病毒"RoseKernel"。該病毒可通過遠程暴力破解密碼等多種手段全網傳播。病毒入侵電腦後,會同時執行"挖礦"(門羅幣)、破壞Windows簽名校驗機制、傳播後門病毒等系列惡意行為。由於病毒會對同一網段的終端同時暴力破解密碼,對局域網等機構用戶(政府、企業、學校、醫院)危害極大,截至到發稿前,已有數萬臺電腦被感染。目前"火絨產品(個人版、企業版)"最新版即可查殺該病毒。
該蠕蟲病毒通過移動外設(U盤等)、劫持Office快捷方式傳播、遠程暴力破解密碼三類方式進行傳播:
1、通過外設傳播時,病毒會將外設內的原有文件隱藏,並創建一個與隱藏文件完全相同的快捷方式,誘導用戶點擊後,病毒會立即運行;
2、通過劫持Office快捷方式傳播後,病毒會劫持Word和Excel快捷方式,讓用戶新建的文檔帶有病毒代碼。當用戶將這些文檔發送給其他用戶時,病毒也隨之傳播出去;
3、通過遠程暴力破解密碼傳播。病毒入侵電腦後,還會對其同一個網段下的所有終端同時暴力破解密碼,繼續傳播病毒。
由於病毒通過文檔、外設等企業常用辦公工具傳播,加上病毒入侵電腦後會對其同一個網段下的所有終端同時暴力破解密碼,因此政府、企業、學校、醫院等局域網機構面臨的威脅最大。
病毒入侵電腦後,會竊取數字貨幣錢包,還會利用本地計算資源進行"挖礦"(門羅幣),並結束其它挖礦程序,以讓自己獨佔計算機資源,使"挖礦"利益最大化。此外,病毒會破壞Windows簽名校驗機制,致使無效的簽名驗證通過,迷惑用戶,提高病毒自身的隱蔽性。"RoseKernel"病毒還帶有後門功能,病毒團伙可通過遠程服務器隨時修改惡意代碼,不排除未來下發其它病毒模塊到本地執行。
建議受威脅較大的機構用戶儘快使用"火絨企業版"(可免費試用3個月)進行全盤掃描,檢查企業內終端是否受到病毒攻擊。
閱讀更多 火絨安全實驗室 的文章
