雷鋒網(wǎng)3月3日消息，騰訊御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn)Satan病毒最新變種，該變種病毒針對(duì)Windows系統(tǒng)和Linux系統(tǒng)進(jìn)行無(wú)差別攻擊，然后在中招電腦中植入勒索病毒勒索比特幣、同時(shí)植入挖礦木馬挖礦門(mén)羅幣。

研究人員稱：“病毒入侵系統(tǒng)后，同時(shí)植入勒索病毒和挖礦病毒的情況十分罕見(jiàn)，甚至令人舉得匪夷所思。這是因?yàn)橥诘V病毒需要較長(zhǎng)時(shí)間潛伏，生存時(shí)間越長(zhǎng)，收益越大；而勒索病毒一旦加密用戶數(shù)據(jù)，便會(huì)很快被用戶注意到。用戶一旦發(fā)現(xiàn)系統(tǒng)中了勒索病毒，往往會(huì)檢查系統(tǒng)進(jìn)行病毒查殺，或者將系統(tǒng)從網(wǎng)絡(luò)斷開(kāi)，挖礦病毒便會(huì)難以藏身。

那么，這個(gè)Satan病毒最新變種是如何做到“雙重攻擊”的呢？經(jīng)研究后發(fā)現(xiàn)，一方面，該病毒會(huì)在中招的Windows電腦中植入攻擊模塊conn.exe，該模塊通過(guò)使用永恒之藍(lán)漏洞對(duì)局域網(wǎng)Windows電腦進(jìn)行攻擊；另一方面，病毒會(huì)通過(guò)利用JBoss、Tomcat、Weblogic、Apache Struts2多個(gè)組件漏洞以及Tomcat弱口令爆破對(duì)Windows、Liunx服務(wù)器進(jìn)行攻擊；并在中招的Linux機(jī)器上植入攻擊模塊conn32/conn64，通過(guò)上述方式針對(duì)Linux系統(tǒng)利用SSH弱口令進(jìn)行爆破攻擊。

至此，最新的Satan變種木馬的攻擊方式會(huì)導(dǎo)致相應(yīng)的勒索、挖礦木馬同時(shí)在Windows系統(tǒng)、Linux系統(tǒng)中進(jìn)行蠕蟲(chóng)式傳播。簡(jiǎn)單總結(jié)其攻擊過(guò)程，就是母體fast.exe在攻擊成功后首先被植入，作為downloader運(yùn)行后下載勒索模塊cpt.exe，挖礦模塊srv.exe以及攻擊模塊conn.exe。

安全建議

1.服務(wù)器暫時(shí)關(guān)閉不必要的端口（如135、139、445），方法可參考：https://guanjia.qq.com/web_clinic/s8/585.html

2.下載并更新Windows系統(tǒng)補(bǔ)丁，及時(shí)修復(fù)永恒之藍(lán)系列漏洞

XP、Windows Server 2003、win8等系統(tǒng)訪問(wèn)：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系統(tǒng)訪問(wèn)： https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3.定期對(duì)服務(wù)器進(jìn)行加固，盡早修復(fù)服務(wù)器相關(guān)組件安全漏洞，安裝服務(wù)器端的安全軟件

4.服務(wù)器Tomcat后臺(tái)登錄、SSH登錄使用高強(qiáng)度密碼，切勿使用弱口令，防止黑客暴力破解

5. 使用安全軟件攔截可能的病毒攻擊

參考來(lái)源：騰訊御見(jiàn)威脅情報(bào)中心

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。