查看: 1439|回复: 2
收起左侧

[技术原创] 蠕虫病毒"RoseKernel"迅速蔓延 政企单位网络易被攻击

[复制链接]
火绒工程师
发表于 2019-2-1 15:11:11 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2019-2-1 15:20 编辑

近期,火绒安全团队截获蠕虫病毒"RoseKernel"。该病毒可通过远程暴力破解密码等多种手段全网传播。病毒入侵电脑后,会同时执行"挖矿"(门罗币)、破坏Windows签名校验机制、传播后门病毒等系列恶意行为。由于病毒会对同一网段的终端同时暴力破解密码,对局域网等机构用户(政府、企业、学校、医院)危害极大,截至到发稿前,已有数万台电脑被感染。目前"火绒产品(个人版、企业版)"最新版即可查杀该病毒。


该蠕虫病毒通过移动外设(U盘等)、劫持Office快捷方式传播、远程暴力破解密码三类方式进行传播:
1、通过外设传播时,病毒会将外设内的原有文件隐藏,并创建一个与隐藏文件完全相同的快捷方式,诱导用户点击后,病毒会立即运行;
2、通过劫持Office快捷方式传播后,病毒会劫持Word和Excel快捷方式,让用户新建的文档带有病毒代码。当用户将这些文档发送给其他用户时,病毒也随之传播出去;
3、通过远程暴力破解密码传播。病毒入侵电脑后,还会对其同一个网段下的所有终端同时暴力破解密码,继续传播病毒。
由于病毒通过文档、外设等企业常用办公工具传播,加上病毒入侵电脑后会对其同一个网段下的所有终端同时暴力破解密码,因此政府、企业、学校、医院等局域网机构面临的威胁最大。
病毒入侵电脑后,会窃取数字货币钱包,还会利用本地计算资源进行"挖矿"(门罗币),并结束其它挖矿程序,以让自己独占计算机资源,使"挖矿"利益最大化。此外,病毒会破坏Windows签名校验机制,致使无效的签名验证通过,迷惑用户,提高病毒自身的隐蔽性。"RoseKernel"病毒还带有后门功能,病毒团伙可通过远程服务器随时修改恶意代码,不排除未来下发其它病毒模块到本地执行。

完整报告:https://www.huorong.cn/info/1548937997190.html

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
skycai
发表于 2019-2-1 16:14:52 | 显示全部楼层
今天还写这个?
琳琬冰
发表于 2019-2-2 08:23:27 | 显示全部楼层
过年了还不放假的啊好辛苦啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 14:26 , Processed in 0.129937 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表