趙明

WannaCry和UIWIX勒索軟件在全世界掀起了軒然大波，但是利用“永恒之藍”漏洞進行攻擊的卻不止這兩個惡意軟件。近日，亞信安全中國病毒響應中心發(fā)現(xiàn)了利用“永恒之藍”漏洞傳播的新型木馬文件“TROJ_COINMINER.WN”。該木馬程序可以控制被感染的終端，形成僵尸網(wǎng)絡，并利用受感染的電腦來“挖掘”虛擬貨幣。亞信安全建議，用戶使用亞信安全MS17-010漏洞掃描工具來快速發(fā)現(xiàn)此漏洞。此外，亞信安全最新病毒碼已經(jīng)可檢測該木馬，亞信安全客戶可升級病毒碼版本來對木馬進行封堵。

當用戶的PC被感染后，犯罪分子會控制被感染的終端形成僵尸網(wǎng)絡，并將感染終端作為計算節(jié)點來挖掘虛擬貨幣“門羅幣”，這很可能導致被感染終端的硬件負載居高不下，造成應用卡頓。

僵尸網(wǎng)絡在犯罪分子的遠程控制下可以發(fā)起大規(guī)模網(wǎng)絡攻擊，如發(fā)送大量垃圾郵件、向網(wǎng)站實施分布式拒絕服務攻擊（DDoS）和傳播惡意代碼。犯罪分子可隨意竊取受感染計算機的信息、用戶的隱私信息等。

而“挖礦”是什么呢？通俗講，“挖礦”就是挖“門羅幣”?！伴T羅幣”是依賴P2P網(wǎng)絡存在的，和“比特幣”一樣都是網(wǎng)絡虛擬貨幣?！伴T羅幣”只能從特定算法中產(chǎn)生。如果你想要獲得“門羅幣”，除了通過交易外，還能夠通過計算憑空變出“門羅幣”——這個計算過程被稱之為“挖礦”?！巴诘V”需要對節(jié)點進行大量哈希計算，這需要大量的計算機設備，并消耗大量電力，而“挖幣”的利益所得會被黑客竊取。因此有黑客就利用僵尸網(wǎng)絡來控制受感染的主機（也稱“肉雞”）來實現(xiàn)“挖掘”虛擬貨幣。

亞信安全中國病毒響應中心發(fā)現(xiàn)：該木馬程序會利用微軟“永恒之藍”漏洞來感染目標主機，感染后會生成“%Windows%＼Fonts＼msiexev.exe”“%Temp%＼s1jc._Miner_.log”，查找并結(jié)束安全軟件相關(guān)進程，添加防火墻規(guī)則，以逃避查殺。之后，該病毒會鏈接外部C&C 服務器發(fā)送和接收信息，并配置用于挖礦的Lua腳本機用來挖礦。由于該C&C 服務器與UIWIX病毒中的C&C服務器是同一個地址，據(jù)此推測可能是同一個組織所為。

亞信安全通用安全產(chǎn)品總經(jīng)理童寧表示：“‘永恒之藍是一個較為嚴重的漏洞，在漏洞細節(jié)披露之后被大量網(wǎng)絡犯罪分子用來發(fā)動攻擊。由于很多用戶仍然沒有及時修補這一漏洞，我們可以預見在未來的一段時間內(nèi)，由該漏洞引起的網(wǎng)絡攻擊事件將會更頻繁地出現(xiàn)?！?/p>

亞信安全建議用戶通過以下方式來防范“TROJ_COINMINER.WN”木馬。

第一，使用亞信安全MS17-010漏洞掃描工具掃描局域網(wǎng)，發(fā)現(xiàn)哪些機器沒有打MS17-010漏洞對應的補丁程序，便于管理員有針對性地處理沒有打補丁的機器。

第二，使用亞信安全端口掃描工具，掃描局域網(wǎng)中哪些機器開放了445端口，便于管理員有針對性地處理打開445端口的機器。

第三，使用WannaCry/Wcry勒索病毒免疫工具，該工具可以關(guān)閉SMB服務和445端口，還可以下載MS17-010對應的補丁程序。

第四，使用“TROJ_COINMINER.WN”木馬專殺工具對病毒進行查殺。

亞信安全產(chǎn)品的客戶則可以通過以下措施來進行防護。

第一，亞信安全最新病毒碼版13.416.60已經(jīng)包含此病毒檢測，用戶及時升級病毒碼版本即可。

第二，亞信安全服務器深度安全防護系統(tǒng)Deep Security和亞信安全深度威脅發(fā)現(xiàn)設備TDA已經(jīng)于5月2號發(fā)布補丁，能夠抵御針對“永恒之藍”漏洞的攻擊。

第三，亞信安全深度威脅安全網(wǎng)關(guān)Deep Edge在4月26日已發(fā)布了針對微軟遠程代碼執(zhí)行漏洞 CVE-2017-0144的4條IPS規(guī)則。