趙明

WannaCry和UIWIX勒索軟件在全世界掀起了軒然大波，但是利用“永恒之藍(lán)”漏洞進(jìn)行攻擊的卻不止這兩個(gè)惡意軟件。近日，亞信安全中國(guó)病毒響應(yīng)中心發(fā)現(xiàn)了利用“永恒之藍(lán)”漏洞傳播的新型木馬文件“TROJ_COINMINER.WN”。該木馬程序可以控制被感染的終端，形成僵尸網(wǎng)絡(luò)，并利用受感染的電腦來(lái)“挖掘”虛擬貨幣。亞信安全建議，用戶使用亞信安全MS17-010漏洞掃描工具來(lái)快速發(fā)現(xiàn)此漏洞。此外，亞信安全最新病毒碼已經(jīng)可檢測(cè)該木馬，亞信安全客戶可升級(jí)病毒碼版本來(lái)對(duì)木馬進(jìn)行封堵。

當(dāng)用戶的PC被感染后，犯罪分子會(huì)控制被感染的終端形成僵尸網(wǎng)絡(luò)，并將感染終端作為計(jì)算節(jié)點(diǎn)來(lái)挖掘虛擬貨幣“門羅幣”，這很可能導(dǎo)致被感染終端的硬件負(fù)載居高不下，造成應(yīng)用卡頓。

僵尸網(wǎng)絡(luò)在犯罪分子的遠(yuǎn)程控制下可以發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊，如發(fā)送大量垃圾郵件、向網(wǎng)站實(shí)施分布式拒絕服務(wù)攻擊（DDoS）和傳播惡意代碼。犯罪分子可隨意竊取受感染計(jì)算機(jī)的信息、用戶的隱私信息等。

而“挖礦”是什么呢？通俗講，“挖礦”就是挖“門羅幣”?！伴T羅幣”是依賴P2P網(wǎng)絡(luò)存在的，和“比特幣”一樣都是網(wǎng)絡(luò)虛擬貨幣。“門羅幣”只能從特定算法中產(chǎn)生。如果你想要獲得“門羅幣”，除了通過(guò)交易外，還能夠通過(guò)計(jì)算憑空變出“門羅幣”——這個(gè)計(jì)算過(guò)程被稱之為“挖礦”?！巴诘V”需要對(duì)節(jié)點(diǎn)進(jìn)行大量哈希計(jì)算，這需要大量的計(jì)算機(jī)設(shè)備，并消耗大量電力，而“挖幣”的利益所得會(huì)被黑客竊取。因此有黑客就利用僵尸網(wǎng)絡(luò)來(lái)控制受感染的主機(jī)（也稱“肉雞”）來(lái)實(shí)現(xiàn)“挖掘”虛擬貨幣。

亞信安全中國(guó)病毒響應(yīng)中心發(fā)現(xiàn)：該木馬程序會(huì)利用微軟“永恒之藍(lán)”漏洞來(lái)感染目標(biāo)主機(jī)，感染后會(huì)生成“%Windows%＼Fonts＼msiexev.exe”“%Temp%＼s1jc._Miner_.log”，查找并結(jié)束安全軟件相關(guān)進(jìn)程，添加防火墻規(guī)則，以逃避查殺。之后，該病毒會(huì)鏈接外部C&C 服務(wù)器發(fā)送和接收信息，并配置用于挖礦的Lua腳本機(jī)用來(lái)挖礦。由于該C&C 服務(wù)器與UIWIX病毒中的C&C服務(wù)器是同一個(gè)地址，據(jù)此推測(cè)可能是同一個(gè)組織所為。

亞信安全通用安全產(chǎn)品總經(jīng)理童寧表示：“‘永恒之藍(lán)是一個(gè)較為嚴(yán)重的漏洞，在漏洞細(xì)節(jié)披露之后被大量網(wǎng)絡(luò)犯罪分子用來(lái)發(fā)動(dòng)攻擊。由于很多用戶仍然沒(méi)有及時(shí)修補(bǔ)這一漏洞，我們可以預(yù)見(jiàn)在未來(lái)的一段時(shí)間內(nèi)，由該漏洞引起的網(wǎng)絡(luò)攻擊事件將會(huì)更頻繁地出現(xiàn)?！?/p>

亞信安全建議用戶通過(guò)以下方式來(lái)防范“TROJ_COINMINER.WN”木馬。

第一，使用亞信安全MS17-010漏洞掃描工具掃描局域網(wǎng)，發(fā)現(xiàn)哪些機(jī)器沒(méi)有打MS17-010漏洞對(duì)應(yīng)的補(bǔ)丁程序，便于管理員有針對(duì)性地處理沒(méi)有打補(bǔ)丁的機(jī)器。

第二，使用亞信安全端口掃描工具，掃描局域網(wǎng)中哪些機(jī)器開(kāi)放了445端口，便于管理員有針對(duì)性地處理打開(kāi)445端口的機(jī)器。

第三，使用WannaCry/Wcry勒索病毒免疫工具，該工具可以關(guān)閉SMB服務(wù)和445端口，還可以下載MS17-010對(duì)應(yīng)的補(bǔ)丁程序。

第四，使用“TROJ_COINMINER.WN”木馬專殺工具對(duì)病毒進(jìn)行查殺。

亞信安全產(chǎn)品的客戶則可以通過(guò)以下措施來(lái)進(jìn)行防護(hù)。

第一，亞信安全最新病毒碼版13.416.60已經(jīng)包含此病毒檢測(cè)，用戶及時(shí)升級(jí)病毒碼版本即可。

第二，亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)Deep Security和亞信安全深度威脅發(fā)現(xiàn)設(shè)備TDA已經(jīng)于5月2號(hào)發(fā)布補(bǔ)丁，能夠抵御針對(duì)“永恒之藍(lán)”漏洞的攻擊。

第三，亞信安全深度威脅安全網(wǎng)關(guān)Deep Edge在4月26日已發(fā)布了針對(duì)微軟遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2017-0144的4條IPS規(guī)則。