国家计算机病毒应急处理中心通过对互联网的监测发现,蠕虫病毒“RoseKernel”可通过远程暴力破解密码等多种手段全网传播。病毒入侵电脑后,会同时执行“挖矿”、破坏Windows签名校验机制、传播后门病毒等系列恶意行为。由于病毒会对同一网段的终端同时暴力破解密码,因此,对政府、企业、学校、医院等局域网机构用户危害极大。
通过分析发现,该蠕虫病毒通过U盘等移动外设、劫持Office快捷方式传播、远程暴力破解密码三类方式进行传播。具体方式为:一是通过外设传播时,病毒会将外设内的原有文件隐藏,并创建一个与隐藏文件完全相同的快捷方式,诱导用户点击后,病毒会立即运行;二是通过劫持Office快捷方式传播后,病毒会劫持Word和Excel快捷方式,让用户新建的文档带有病毒代码。当用户将这些文档发送给其他用户时,病毒也随之传播出去;三是通过远程暴力破解密码传播,病毒入侵电脑后,还会对其同一个网段下的所有终端同时暴力破解密码,继续传播病毒。
病毒入侵电脑后,会窃取数字货币钱包,还会利用本地计算资源进行“挖矿”,并结束其它挖矿程序,以让自己独占计算机资源,使“挖矿”利益最大化。此外,病毒会破坏Windows签名校验机制,致使无效的签名验证通过,迷惑用户,提高病毒自身的隐蔽性。“RoseKernel”病毒还带有后门功能,攻击者可通过远程服务器随时修改恶意代码,不排除未来下发其它病毒模块到本地执行的可能性。针对此情况,建议各政企机构提高警惕,加强对局域网的防护。
