“驱动人生”蠕虫病毒出现新变种：可严重威胁Linux终端_播报

(资料图)

目前，“火绒威胁情报系统”监测到，“驱动人生”蠕虫病毒（又名“DTStealer”、“LemonDuck”或者“永恒之蓝下载器”）出现了新的变种：通过在Windows中毒终端下发SSH暴破相关模块，对互联网中的Linux终端进行暴破攻击。当前，也已有企业用户陆续向火绒反馈该病毒问题。火绒工程师提醒广大用户，尤其企业用户，请及时排查。火绒用户无需担心，火绒已对“驱动人生”蠕虫病毒进行查杀。同时，火绒已经升级相应的系统加固（系统免疫）拦截规则，可以拦截该病毒的主要恶意行为，如果用户在使用中发现有病毒触发该拦截项，建议用户及时全盘查杀，并对局域网内的其他终端进行排查。根据火绒工程师分析，此病毒会进行横向传播、下载挖矿病毒、安装后门病毒，Windows和Linux都是他的传播目标。除此之外还增加了针对Linux平台服务器的漏洞攻击逻辑，病毒使用的漏洞包括：Yarn 未授权访问漏洞、Redis 未授权访问漏洞、Weblogic（CVE-2020-14882）、Elasticsearch（CVE-2015-1427）、Solr（CVE-2019-0193）、Docker（Remote API）。病毒更新后，可能造成更多的Linux终端受到该病毒的影响。事实上，蠕虫病毒擅长利用漏洞攻击或者横向渗透进行传播，从而大面积感染目标设备。”驱动人生”蠕虫病毒更是不断升级漏洞攻击、暴破攻击形式和手段，严重影响终端安全。在近几年的时间里，火绒安全团队也对“驱动人生”蠕虫病毒进行了持续跟踪：2018年12月，火绒工程师发现“驱动人生”旗下多款软件携带后门病毒DTStealer，仅半天时间感染了数万台电脑（补充链接1）；2020年，火绒监测到“LemonDuck”通过多种暴破方式（SMB暴破，RDP暴破，SQL Server暴破）和漏洞（USBLnk漏洞，永恒之蓝漏洞）传播（补充链接2）。近年来，火绒也不断升级查杀和防护技术，从而有效阻止类似“驱动人生“蠕虫病毒在内网肆意传播的现象：如【远程登录防护】功能，可以有效抵挡病毒的RDP、SMB等暴破行为。火绒个人版和企业版2.0也已上线【横向渗透防护】功能，可以有效拦截后续渗透入侵行为，做到阻断病毒在局域网内扩散，避免终端受到病毒的影响。一、详细分析Windows终端下的病毒分析使用Putty进行暴破攻击,如下图所示:Putty暴破攻击相关代码,如下图所示:漏洞利用相关代码,如下图所示:新增的攻击方式,如下图所示:===================================Linux终端下的病毒分析删除挖矿软件,如下图所示:通过联网IP结束其他挖矿病毒进程,如下图所示:下载Linux挖矿病毒,如下图所示:借助SSH横向传播,如下图所示:二、附录样本hash

科普：驱动精灵与驱动人生与360驱动！它们的驱动是通用版！使用起来都不稳定！常见的就是：显卡驱动，很容易花屏！有波纹！主板驱动，很容易蓝屏故障A5/7B！USB驱动，鼠标键盘一卡一卡，时灵时不灵！建议主板与显卡去相应的官网下载安装！部分稀有的，可以考虑使用驱动总裁与万能驱动！万能驱动使用时，请注意取消勾选安装2345全家桶！驱动总裁使用时，驱动安装完毕后，取消勾选安装小游戏测试驱动！

关键词：