转自:火绒安全
近期,火绒监测到“LemonDuck”(柠檬鸭)蠕虫病毒感染量正在持续增加。该病毒入侵用户电脑后,会执行挖矿模块,同时还会通过多种方式在网络中进行横向传播。该病毒在2019年被首次发现,至今依然在不断扩大其影响范围。火绒安全软件(个人版、企业版)可查杀该病毒。
“LemonDuck”通过多种暴破方式(SMB暴破,RDP暴破,SQL Server暴破)和漏洞(USBLnk漏洞,永恒之蓝漏洞)传播。病毒入侵用户电脑后,会执行木马下载器PowerShell脚本。该脚本运行后会下载执行挖矿模块和病毒传播模块。
根据火绒此前报告显示(详见资料1),近年来通过暴破方式入侵电脑进行挖矿的蠕虫病毒呈增长趋势。而企业内经常存在密码强度弱、密码复用等安全问题。针对此现象,火绒企业版于今年2月推出“动态认证”功能,通过二次验证的方式,可有效防御此类病毒RDP暴破行为带来的危害。(详见资料2)
补充资料1:
《新型蠕虫病毒攻击服务器 政企电脑变矿机》
https://www.huorong.cn/info/1555676664203.html
《蠕虫病毒”RoseKernel”迅速蔓延 政企单位网络易被攻击》
https://www.huorong.cn/info/1548937997190.html
补充资料2:
《火绒产品公告——企业版推出“终端动态认证”功能 阻止RDP弱口令渗透》
https://www.huorong.cn/info/1582608651429.html