6月5日,瑞星安全研究院率先截獲了知名挖礦病毒DTLMiner的最新變種,該變種此次針對Linux操作系統,經過瑞星安全專家的測試發現,該病毒幾乎可感染所有基于Linux內核的系統,其中的挖礦模塊目前可在基于x86-64架構的國產操作系統中運行。瑞星提醒廣大企業用戶,隨著技術的不斷迭代,跨平臺的病毒將越來越多,用戶一定要拋棄Linux系統沒有病毒的傳統思維,做好安全防護。目前,瑞星ESM防病毒系統的Windows版、信創版及涉密版均已進行升級,可對該病毒進行有效攔截和查殺。

圖:國產操作系統感染最新DTLMiner變種

圖:瑞星ESM成功查殺DTLMiner最新變種

瑞星安全專家介紹,DTLMiner是近年來極其活躍的一個挖礦病毒,病毒作者不斷更新病毒傳播手段并快速應用新技術,幾乎每周都對其進行更新。病毒一旦成功入侵就會在中毒設備上進行挖礦,從而導致計算機資源被非法占用,無法正常工作。截至目前,DTLMiner挖礦木馬使用的傳播方式有:“永恒之藍”漏洞、U盤傳播(利用“震網三代”【CVE-2017-8464】漏洞)、SMB共享(域賬戶弱口令)、MSSQL弱口令、RDP弱口令、SSH弱口令、SSH公鑰登錄、Redis未授權訪問以及釣魚郵件,在執行過程中還會抓取系統內密碼來擴充自己的弱密碼庫,提高利用弱口令入侵的成功率。

防御建議:

1、安裝永恒之藍漏洞補丁、"震網三代”(CVE-2017-8464)漏洞補丁、BlueKeep(CVE-2019-0708)漏洞補丁以及SMBGhost(CVE-2020-0796)漏洞補丁,防止病毒通過漏洞植入;

2、及時跟進打好Office套件相關補丁;

3、系統和數據庫不要使用弱口令賬號密碼;

4、修改Redis的默認端口并為Redis配置密碼驗證,禁用Redis內的高危命令;

5、多臺機器不要使用相同密碼,病毒會抓取本機密碼,攻擊局域網中的其它機器;

6、安裝殺毒軟件,保持防護開啟。對于來歷不明、內容敏感以及引導關閉殺毒軟件和Office宏安全特性的文檔保持高度警惕。