首 頁最新軟件下載排行文章資訊投稿發布下載專題h5游戲
維維下載站
您的位置:首頁安全相關病毒防治 → Viking維金RoseKerne蠕蟲病毒專殺工具綠色版

Viking維金RoseKerne蠕蟲病毒專殺工具綠色版

平臺:Winall 體積:187 KB 更新時間:2019-2-17 10:50:00
  • 立即下載
  • 立即下載
  • 立即下載
  • Viking維金RoseKerne蠕蟲病毒專殺工具免費下載,近期網上一則關于蠕蟲病毒RoseKernel迅速蔓延,政企單位網絡易被攻擊的新聞引起了不少人的恐慌,其實這并不是空穴來風,哦,該蠕蟲病毒會通過移動外設(U盤等)、劫持Office快捷方式傳播、遠程暴力破解密碼三類方式進行傳播,由于病毒通過文檔、外設等企業常用辦公工具傳播,加上病毒入侵電腦之后會對其同一個網段下的所有終端同時暴力破解密碼,所以政府、企業、學校、醫院等局域網機構面臨的威脅最大,因此維維小編給大家分享這款Viking維金最新版的RoseKerne蠕蟲病毒專殺工具供大家使用,針對門羅畢挖礦,windows簽名校驗機制,傳播后門病毒等方面進行惡意威脅,危害極大,快使用Viking維金RoseKerne蠕蟲病毒專殺工具將電腦保護起來哦。

    Viking維金RoseKerne蠕蟲病毒專殺工具下載

    RoseKerne蠕蟲病毒概述

    蠕蟲通過移動外圍設備(U盤等)傳播,劫持Office快捷方式和遠程強力密碼:

    當通過外圍設備傳播時,病毒會隱藏外圍設備中的原始文件,并創建一個與隱藏文件相同的快捷方式,誘使用戶點擊,病毒將立即運行;

    傳播Office快捷方式后,病毒將劫持Word和Excel快捷方式,允許用戶使用病毒代碼創建新文檔。當用戶將這些文檔發送給其他用戶時,病毒也會傳播開來;

    通過遠程暴力破解密碼傳播。病毒入侵計算機后,它還會在同一網段下的所有終端上強制密碼并繼續傳播病毒。

    由于病毒通過文件和外圍設備等常用辦公工具傳播,并且病毒侵入計算機,因此會在同一網段下的所有終端上同時強制密碼,因此政府,企業,學校等地方政府面臨著威脅和醫院。最大值。

    在病毒入侵計算機后,它將竊取數字貨幣錢包,并使用本地計算資源“挖掘”(Menrocoin)并結束其他采礦程序,以允許它們壟斷計算機資源并最大化“挖掘”的好處。此外,該病毒將破壞Windows簽名驗證機制,導致簽名驗證無效,使用戶感到困惑,并改善對病毒本身的隱藏。 “RoseKernel”病毒也有后門功能。病毒組織可以隨時通過遠程服務器修改惡意代碼。不排除將來向本地執行發布其他病毒模塊。

    樣本分析

    Velvet最近攔截了一組蠕蟲樣本,這些樣本通過強力遠程創建了WMI腳本。該病毒包含遠程控制功能,可以發送到任何本地模塊執行。目前的危險包括竊取數字貨幣錢包和利用本地計算資源。 Mining(Monroe)不排除將來向本地執行發布其他病毒模塊的可能性。

    模塊介紹

    這里的病毒分為rknrl.vbs模塊和DM6331.TMP模塊分別描述。

    Rknrl.vbs模塊

    Rknrl.vbs可以被視為裝載機。 DM6331.TMP是加密的VBS代碼。它將在讀取DM6331.TMP后執行。解密后,DM6331.TMP是病毒的主要功能模塊。該模塊的功能將落后。詳細說明。如圖所示,解密的“aB”功能是病毒的主要解密功能,并且大多數加密的字符串將使用該功能解密,這將在后面描述。在這里,病毒作者將加載程序和加密的病毒代碼分成兩個文件,以避免查殺功能。

    代碼解密

    DM6331.TMP模塊

    DM6331.TMP模塊是病毒的主要模塊。由于它的功能很多,它將分為9個部分:后門代碼,組件升級,隱藏挖掘,數字貨幣錢包被盜,簽名重用攻擊,其他挖掘程序結束,劫持Office組件快捷方式,U盤感染和遠程暴力攻擊創建WMI腳本。

    后門代碼

    首先調用“Getini”函數以獲取可用的C&C服務器地址。該網站包含:病毒和采礦程序的下載地址,礦山錢包地址和遠程控制C&C服務器地址。獲取網站內容后,將調用“chkorder”執行遠程控制命令。 “chkorder”功能包括下載,上傳和刪除任意文件。在當前腳本環境中執行任何vbs代碼,啟動cmd并獲取echo,獲取進程列表信息,并結束任何進程。

    RoseKerne蠕蟲病毒危害

    獲取遠控地址

    遠程后門指令

    遠控功能代碼

    組件升級

    DM6331.TMP模塊將在WMI中注冊名為“rknrlmon”的腳本。該腳本將每8秒執行一次,以獲取C&C服務器的遠程控制命令。解析獲得的內容并將其用作病毒和挖掘程序。升級使用。

    版本升級

    隱藏挖礦

    rknrlmon腳本還會查看當前環境中是否存在任務管理器,如果存在,則結束挖礦程序,反之執行,從而可以提高病毒的隱蔽性。

    隱藏挖礦程序

    盜竊數字貨幣錢包

    DM6331.TMP中的病毒代碼將在執行后遍歷受害者磁盤目錄,用于竊取數字貨幣錢包,感染用戶網站的主頁,但將繞過系統目錄和360目錄。遍歷目錄時,文件夾下的文件名包含“wallet”,“electrum”,“。keys”,文件大小小于183600字節,相應的文件將被上傳。如果找到文件名當插入與網站默認頁面相關的文件名(例如“default.html”或“index.asp”)時,會在頁面中插入帶有病毒代碼的JavaScript腳本標記,解密的JavaScript代碼包含指向病毒C&C服務器的指針。鏈接,該鏈接當前不可訪問,“// v | v \\”字符串將作為受感染的令牌添加到受感染的Web文件中。

    遍歷用戶目錄

    竊取數字貨幣和感染網站首頁

    簽名重用攻擊

    該病毒通過更改Windows 注冊表方式,破壞Windows簽名校驗機制,從而使其無效的”Microsoft Windows”數字簽名驗證通過。

    破壞Windows簽名校驗機制

    感染前后病毒文件數字簽名信息

    結束其他挖礦程序

    在啟動挖礦程序后,還會通過WMI遍歷當前進程列表,如果存在”xmrig”、”xmrig-amd”等含有礦工名稱的進程時會結束對應進程。目的是為了獨占計算機資源進行挖礦,擴大挖礦收益。

    結束其他挖礦程序

    劫持Office快捷方式

    DM6331.TMP 在執行后會將帶有宏的Word文檔(rknrl.TMP1)和Excel文檔(rknrl.TMP2)拷貝到Office目錄下,然后遍歷桌面目錄,在Word與Excel辦公軟件的快捷方式添加命令行參數。

    工具介紹

    劫持Word和Excel快捷方式

    被篡改后的快捷方式參數及其解釋,

    當啟動被劫持的快捷方式后,會調用帶有病毒代碼的文檔文件,病毒代碼運行后會在Temp目錄下釋放rknrl.vbs和DM6331.TMP并注冊病毒WMI腳本。因為啟動參數為基于病毒文檔打開,所以當用戶將新建的文檔保存后,文檔中也會帶有病毒代碼,如果用戶將帶有病毒代碼的文檔發送給其他用戶,就會幫助病毒進行傳播。

    釋放病毒

    U盤傳播

    該病毒會在移動存儲設備中創建與根目錄中文件夾名近乎相同的病毒快捷方式(如果該文件夾名長度不等于一,那么該病毒會刪除原始文件名最后一個字符,然后以這個名字創建快捷方式),同時將真實的文件夾隱藏,誘導用戶點擊執行病毒

    U盤傳播代碼

    被感染的U盤

    WMI弱口令暴力破解

    也可以通過弱密碼暴力遠程創建病毒,以創建用于傳播的WMI腳本。傳播對象不僅限于LAN,還會攻擊Internet上存在的任何主機。首先,將獲得本地IP,然后除了同一網段上的廣播地址之外的所有主機都將受到暴力攻擊。之后,病毒會隨機生成一個IP地址,通過相同的攻擊方法傳播外部網絡。

    相關推薦:
    相關下載
    欄目導航
    本類熱門閱覽
    福建体彩31选7走势图彩