新型蠕虫病毒攻击服务器,政企电脑变矿机
一、概述
近日,火绒安全团队截获蠕虫病毒“MinerGuard”新变种,严重威胁企业用户。该病毒通过网络服务器漏洞以及暴力破解服务器的方式迅速传播,并且可跨平台(Windows、linux)交叉感染。病毒入侵电脑后,会释放挖矿病毒挖取门罗币。此外,病毒作者可随时通过远程服务器更新病毒模块,甚至利用以太坊(区块链平台)钱包更新病毒服务器地址。
火绒工程师分析发现,病毒主要利用网络服务器进行传播:通过ElasticSearch,Weblogic,Spring,Redis,ThinkPHP等多个网络服务软件漏洞传播;对SQL Server网络服务器进行暴力破解后传播。此外,该蠕虫病毒可以在Windows和Linux两个系统平台中交叉感染。这些传播方式导致使用上述服务器和系统的企业用户面临被攻击的威胁。
病毒入侵电脑后,会释放挖矿病毒挖取门罗币,病毒作者可以随时通过远程服务器派发新的病毒模块。值得一提的是,该病毒还可以通过以太坊钱包更新病毒服务器地址,并且无法被实名查询,而且信息永久有效。
二、样本分析
近期,火绒安全实验室截获到一批蠕虫病毒样本,该病毒使用Go语言编写。病毒可以通过漏洞攻击、暴力破解等手段进行传播,且可以同时进行Windows和Linux操作系统的交叉传播。病毒具有更新功能,可以通过远程C&C服务器(hxxp://43.245.222.57:8667)请求更新病毒模块。
有意思的是,病毒除了可以通过C&C服务器进行更新外,还可以通过以太坊转账信息中的input字段内容临时更新C&C服务器地址,之后派发新的病毒模块到本地执行。
用来获取C&C服务器地址的以太坊钱包地址为:0xb017eFb3339FfE0EB3dBF799Db6cb065376fFEda。
在获取C&C服务器地址时,只有该钱包地址向外(包括自己)的交易记录才会生效,所以只有该钱包地址的拥有者才可以执行C&C服务器地址更新的操作。
更多内容点击消息来源查看
2019年5月2日
官方