近期火绒安全团队截获名为 RoseKernel 的蠕虫病毒,该病毒可通过远程暴力破解密码的方式进行全网传播,该蠕虫病毒在成功感染设备后会同时执行挖矿模块、破坏系统签名校验机制以及传播后门病毒等等多种危害,此外该病毒还会对相同网段的终端进行暴力破解密码,对局域网等机构例如政府企业学校和医院等危害极大。
蠕虫病毒RoseKernel分析:
该病毒通过具有针对性的外部存储例如优盘移动硬盘以及劫持办公软件快捷方式和宏模块等进行大规模传播,在政企单位和学校等通过优盘转移文件是常用方式,因此通过优盘的方式可以在极短的时间感染大量的设备,利用办公软件传播其危害性更大,据火绒安全团队分析该病毒会劫持办公软件的快捷方式诱导用户主动执行。
感染后还会继续利用Microsoft Office宏模块等感染文档,文档传播运行后也可以继续感染运行文件的电脑,最后针对具有密码保护的电脑该病毒还会执行暴力破解步骤,对相同网段的电脑执行暴力破解以最大化传播。
蠕虫病毒加载后门程序:
挖矿和执行远程控制模块:
火绒安全团队分析后发现目前该蠕虫病毒主要目的在于安装挖矿模块利用被感染的电脑挖掘虚拟货币门罗币,同时还会监控诸如比特币等虚拟货币的钱包地址,如果用户不慎将密钥保存在本地那么就有可能会遭到窃取,病毒开发者还为该病毒预留远程控制模块,在有需要的情况下黑客可以直接远程控制受害者电脑或者监听等。
蠕虫病毒加载挖矿模块:
宏模块安全提醒:
诸如优盘等传播病毒本身已经司空见惯这里我们就不再赘述,但办公软件的宏模块安全还是很有必要提醒的,在过去两年里借助蓝点网已经多次提到宏模块的安全问题,主要是攻击者们利用用户不了解其用途再来攻击,宏功能对于绝大多数普通用户都是用不到的,同时基于安全等考虑加载具有宏模块的文档时微软会主动提醒,但有不了解的用户可能会直接点击确定而运行宏模块,进而在用户不知不觉的情况下电脑等遭到病毒的感染。
所以如果用户不了解或者不使用宏模块的话其实可以直接禁止其运行,以免在日常使用带来潜在的安全风险。
