目前 ， “火绒威胁情报系统”监测到 ， “驱动人生”蠕虫病毒（又名“DTStealer”、“LemonDuck”或者“永恒之蓝下载器”）出现了新的变种：通过在Windows中毒终端下发SSH暴破相关模块 ， 对互联网中的Linux终端进行暴破攻击 。 当前 ， 也已有企业用户陆续向火绒反馈该病毒问题 。 火绒工程师提醒广大用户 ， 尤其企业用户 ， 请及时排查 。

文章图片
火绒查杀图
火绒用户无需担心 ， 火绒已对“驱动人生”蠕虫病毒进行查杀 。 同时 ， 火绒已经升级相应的系统加固（系统免疫）拦截规则 ， 可以拦截该病毒的主要恶意行为 ， 如果用户在使用中发现有病毒触发该拦截项 ， 建议用户及时全盘查杀 ， 并对局域网内的其他终端进行排查 。

文章图片
火绒系统加固拦截图

文章图片
火绒Web服务保护拦截图
根据火绒工程师分析 ， 此病毒会进行横向传播、下载挖矿病毒、安装后门病毒 ， Windows和Linux都是他的传播目标 。 除此之外还增加了针对Linux平台服务器的漏洞攻击逻辑 ， 病毒使用的漏洞包括：Yarn未授权访问漏洞、Redis未授权访问漏洞、Weblogic（CVE-2020-14882）、Elasticsearch（CVE-2015-1427）、Solr（CVE-2019-0193）、Docker（RemoteAPI） 。 病毒更新后 ， 可能造成更多的Linux终端受到该病毒的影响 。
事实上 ， 蠕虫病毒擅长利用漏洞攻击或者横向渗透进行传播 ， 从而大面积感染目标设备 。 ”驱动人生”蠕虫病毒更是不断升级漏洞攻击、暴破攻击形式和手段 ， 严重影响终端安全 。 在近几年的时间里 ， 火绒安全团队也对“驱动人生”蠕虫病毒进行了持续跟踪：
2018年12月 ， 火绒工程师发现“驱动人生”旗下多款软件携带后门病毒DTStealer ， 仅半天时间感染了数万台电脑（补充链接1）；2020年 ， 火绒监测到“LemonDuck”通过多种暴破方式（SMB暴破 ， RDP暴破 ， SQLServer暴破）和漏洞（USBLnk漏洞 ， 永恒之蓝漏洞）传播（补充链接2） 。
近年来 ， 火绒也不断升级查杀和防护技术 ， 从而有效阻止类似“驱动人生“蠕虫病毒在内网肆意传播的现象：如【远程登录防护】功能 ， 可以有效抵挡病毒的RDP、SMB等暴破行为 。 火绒个人版和企业版2.0也已上线【横向渗透防护】功能 ， 可以有效拦截后续渗透入侵行为 ， 做到阻断病毒在局域网内扩散 ， 避免终端受到病毒的影响 。
一、详细分析
Windows终端下的病毒分析
使用Putty进行暴破攻击,如下图所示:

文章图片
使用Putty进行暴破攻击
Putty暴破攻击相关代码,如下图所示:

文章图片
Putty暴破攻击相关代码
漏洞利用相关代码,如下图所示:

文章图片
漏洞利用相关代码
新增的攻击方式,如下图所示:

文章图片
新增的攻击方式
Linux终端下的病毒分析
删除挖矿软件,如下图所示:

文章图片
删除挖矿软件
通过联网IP结束其他挖矿病毒进程,如下图所示:

文章图片
通过联网IP结束其他挖矿病毒进程

• 苹果|华为新一代“小方表”来了：Watch FIT 2正式官宣
• 纸质表格|“数字化”助推火箭升空
• 炸锅|酷暑之下，莫让这些谣言再增“热”度
• 户外|“小眼镜”增多 专家支招教你科学用眼
• 单项冠军|再添三家“小巨人”，青岛高新区梯度培育见成效
• 陨石|小行星“打水漂”闯入地球 形成世界最长陨石陨落带
• 科技入黔|“科技入黔”助力贵州高质量发展
• 踩线|主播不“踩线” 直播才有未来
• 套餐资费|广电放号 5G套餐竞争告别“三国时代”
• 浮甘瓜于清泉,沉朱李于寒水”描述的是什么场面 蚂蚁庄园今日答案6月28日