瑞星：“驅動人生木馬”3連更 增加簽名躲查殺

近日，瑞星安全研究院監測到利用“驅動人生”傳播的挖礦木馬病毒再次更新。該病毒利用了數字簽名以逃避殺毒軟體的查殺，電腦中毒後會下載運行挖礦程序，從而給企業用戶帶來嚴重影響，可造成用戶電腦卡頓、CPU佔用率過高，甚至可能造成企業網絡大面積癱瘓，目前瑞星ESM已能成功查殺該病毒的最新版本。

瑞星安全專家介紹，“驅動人生木馬”於2月23、24、25號頻繁更新，可以說是木馬中的“勞模”了，屢次被攔截，卻從未放棄，不斷加強病毒的攻擊力、成功率和傳播能力。新版本增加了利用驅動人生旗下子公司無效的數字簽名，並且使用永恆之藍漏洞和SMB弱口令攻擊，此外還增加了MS SQL數據庫弱口令的攻擊功能，攻擊面進一步增大。

針對該木馬病毒對企業信息安全帶來的潛在威脅，瑞星安全專家建議：

1.安裝永恆之藍漏洞補丁，防止通過漏洞植入；

2.系統和數據庫不要使用弱口令账號密碼；

3.多台機器不要使用相同密碼，病毒會抓取本機密碼，攻擊局域網中的其它機器；

4.安裝殺毒軟體，保持防護開啟。

技術分析

1、弱口令账號密碼列表，進一步擴充

新版病毒代碼中增加了針對MSSQL數據庫弱口令的攻擊的弱口令

之前針對系統弱口令的密碼表也進行了擴充

目前病毒最新版，內置的完整的密碼表如下，如果有用戶使用了以下密碼，建議盡快更改密碼，防止被攻擊。

圖：完整的弱口令密碼列表

2、病毒會開啟防火牆阻止指定端口訪問，防止被機器被其它挖礦病毒植入，從而獨佔計算機資源

圖：開啟防火牆，關閉指定端口

3、仍然會通過mimikatz抓取密碼

病毒後面會用抓取到的密碼進行SMB攻擊

4、仍然存在永恆之藍漏洞攻擊

圖：永恆之藍漏洞攻擊

5、仍然存在SMB弱口令攻擊

6、MS SQL數據庫攻擊

新版主要的變化就是，增加了MSSQL數據庫攻擊，攻擊面進一步擴大，對於很多使用了MS SQL數據庫的伺服器有很大的危害。如果這些伺服器使用的是弱口令密碼，就會被植入病毒。

圖：MS SQL數據庫攻擊

攻擊成功後下載運行挖礦木馬母體

圖：下載運行挖礦木母體