蠕虫病毒RoseKernel大肆传播 政企学校等内网易被攻击

近期火绒安全团队截获名为 RoseKernel 的蠕虫病毒,该病毒可通过远程暴力破解密码的方式进行全网传播。

该蠕虫病毒在成功感染设备后会同时执行挖矿模块、破坏系统签名校验机制以及传播后门病毒等等多种危害。

此外该病毒还会对相同网段的终端进行暴力破解密码,对局域网等机构例如政府企业学校和医院等危害极大。

蠕虫病毒RoseKernel分析:

该病毒通过具有针对性的外部存储例如优盘移动硬盘以及劫持办公软件快捷方式和宏模块等进行大规模传播。

在政企单位和学校等通过优盘转移文件是常用方式,因此通过优盘的方式可以在极短的时间感染大量的设备。

利用办公软件传播其危害性更大,据火绒安全团队分析该病毒会劫持办公软件的快捷方式诱导用户主动执行。

感染后还会继续利用Microsoft Office宏模块等感染文档,文档传播运行后也可以继续感染运行文件的电脑。

最后针对具有密码保护的电脑该病毒还会执行暴力破解步骤,对相同网段的电脑执行暴力破解以最大化传播。

蠕虫病毒加载后门程序:

蠕虫病毒RoseKernel大肆传播 政企学校等内部网络易被攻击

挖矿和执行远程控制模块:

火绒安全团队分析后发现目前该蠕虫病毒主要目的在于安装挖矿模块利用被感染的电脑挖掘虚拟货币门罗币。

同时还会监控诸如比特币等虚拟货币的钱包地址,如果用户不慎将密钥保存在本地那么就有可能会遭到窃取。

病毒开发者还为该病毒预留远程控制模块,在有需要的情况下黑客可以直接远程控制受害者电脑或者监听等。

蠕虫病毒加载挖矿模块:

蠕虫病毒RoseKernel大肆传播 政企学校等内部网络易被攻击

宏模块安全提醒:

诸如优盘等传播病毒本身已经司空见惯这里我们就不再赘述,但办公软件的宏模块安全还是很有必要提醒的。

在过去两年里借助蓝点网已经多次提到宏模块的安全问题,主要是攻击者们利用用户不了解其用途再来攻击。

宏功能对于绝大多数普通用户都是用不到的,同时基于安全等考虑加载具有宏模块的文档时微软会主动提醒。

但有不了解的用户可能会直接点击确定而运行宏模块,进而在用户不知不觉的情况下电脑等遭到病毒的感染。

所以如果用户不了解或者不使用宏模块的话其实可以直接禁止其运行,以免在日常使用带来潜在的安全风险。

点击这里查看怎么彻底禁止Microsoft Office系列办公软件中的宏功能:默认情况下拦截所有宏模块的加载

本文来源 火绒安全,由 山外的鸭子哥 整理编辑,其版权均为 火绒安全 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0
腾讯云智慧上云双11活动延长至12月2日,国内服务器低至7.33元/月,香港免备案服务器低至14元/月,欲购从速
哇哦恭喜您已成功屏蔽了蓝点网的小广告

评论:

3 条评论,访客:3 条,站长:0 条
  1. jmacmillang
    jmacmillang发布于: 
    Google Chrome 63.0.3239.132 Google Chrome 63.0.3239.132 Windows 10 64位版 Windows 10 64位版

    这些地方谁会在意数据安危?都没人管的。。。所以这些目标被攻击不足为奇

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 72.0.3626.81 Google Chrome 72.0.3626.81 Windows 10 64位版 Windows 10 64位版

      基本是这样的 安全防御相对做的比较差

      • jmacmillang
        jmacmillang发布于: 
        Google Chrome 63.0.3239.132 Google Chrome 63.0.3239.132 Windows 10 64位版 Windows 10 64位版

        然而这些单位被黑之后掏了钱/遭受资料损失之后仍然死不悔改着实让人扎心/😭

发表评论