國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)����,蠕蟲(chóng)病毒“RoseKernel”可通過(guò)遠(yuǎn)程暴力破解密碼等多種手段全網(wǎng)傳播���。病毒入侵電腦后��,會(huì)同時(shí)執(zhí)行“挖礦”�����、破壞Windows簽名校驗(yàn)機(jī)制��、傳播后門病毒等系列惡意行為���。由于病毒會(huì)對(duì)同一網(wǎng)段的終端同時(shí)暴力破解密碼�,因此�,對(duì)政府、企業(yè)����、學(xué)校、醫(yī)院等局域網(wǎng)機(jī)構(gòu)用戶危害極大���。
通過(guò)分析發(fā)現(xiàn)���,該蠕蟲(chóng)病毒通過(guò)U盤等移動(dòng)外設(shè)、劫持Office快捷方式傳播����、遠(yuǎn)程暴力破解密碼三類方式進(jìn)行傳播。具體方式為:一是通過(guò)外設(shè)傳播時(shí)�,病毒會(huì)將外設(shè)內(nèi)的原有文件隱藏,并創(chuàng)建一個(gè)與隱藏文件完全相同的快捷方式�����,誘導(dǎo)用戶點(diǎn)擊后,病毒會(huì)立即運(yùn)行��;二是通過(guò)劫持Office快捷方式傳播后��,病毒會(huì)劫持Word和Excel快捷方式��,讓用戶新建的文檔帶有病毒代碼��。當(dāng)用戶將這些文檔發(fā)送給其他用戶時(shí)�����,病毒也隨之傳播出去��;三是通過(guò)遠(yuǎn)程暴力破解密碼傳播�,病毒入侵電腦后��,還會(huì)對(duì)其同一個(gè)網(wǎng)段下的所有終端同時(shí)暴力破解密碼��,繼續(xù)傳播病毒����。
病毒入侵電腦后�����,會(huì)竊取數(shù)字貨幣錢包��,還會(huì)利用本地計(jì)算資源進(jìn)行“挖礦”�����,并結(jié)束其它挖礦程序�����,以讓自己獨(dú)占計(jì)算機(jī)資源����,使“挖礦”利益最大化�����。此外��,病毒會(huì)破壞Windows簽名校驗(yàn)機(jī)制��,致使無(wú)效的簽名驗(yàn)證通過(guò)��,迷惑用戶,提高病毒自身的隱蔽性���?��!癛oseKernel”病毒還帶有后門功能,攻擊者可通過(guò)遠(yuǎn)程服務(wù)器隨時(shí)修改惡意代碼��,不排除未來(lái)下發(fā)其它病毒模塊到本地執(zhí)行的可能性�。針對(duì)此情況,建議各政企機(jī)構(gòu)提高警惕�,加強(qiáng)對(duì)局域網(wǎng)的防護(hù)。