通过分析发现,该蠕虫病毒通过U盘等移动外设、劫持Office快捷方式传播、远程暴力破解密码三类方式进行传播。具体方式为:一是通过外设传播时,病毒会将外设内的原有文件隐藏,并创建一个与隐藏文件完全相同的快捷方式,诱导用户点击后,病毒会立即运行;二是通过劫持Office快捷方式传播后,病毒会劫持Word和Excel快捷方式,让用户新建的文档带有病毒代码。当用户将这些文档发送给其他用户时,病毒也随之传播出去;三是通过远程暴力破解密码传播,病毒入侵电脑后,还会对其同一个网段下的所有终端同时暴力破解密码,继续传播病毒。
病毒入侵电脑后,会窃取数字货币钱包,还会利用本地计算资源进行“挖矿”,并结束其它挖矿程序,以让自己独占计算机资源,使“挖矿”利益最大化。此外,病毒会破坏Windows签名校验机制,致使无效的签名验证通过,迷惑用户,提高病毒自身的隐蔽性。“RoseKernel”病毒还带有后门功能,攻击者可通过远程服务器随时修改恶意代码,不排除未来下发其它病毒模块到本地执行的可能性。针对此情况,建议各政企机构提高警惕,加强对局域网的防护。
办公地址:湖南省邵阳市大祥区邵阳学院七里坪校区图书信息楼
邮编:42200 | 联系电话:0739-5431087
E-mail:wlzx@hnsyu.edu.cn