首 页最新软件下载排行文章资讯投稿发布下载专题
维维软件站
您的位置:首页安全相关病毒防治 → Viking维金RoseKerne蠕虫病毒专杀工具绿色版

Viking维金RoseKerne蠕虫病毒专杀工具绿色版

平台:Winall 大小:187 KB 时间:2019-2-17 10:50:00
  • 智能高速地址
  • 群英网络地址
  • 微子网络地址
  • Viking维金RoseKerne蠕虫病毒专杀工具免费下载,近期网上一则关于蠕虫病毒RoseKernel迅速蔓延,政企单位网络易被攻击的新闻引起了不少人的恐慌,其实这并不是空穴来风,哦,该蠕虫病毒会通过移动外设(U盘等)、劫持Office快捷方式传播、远程暴力破解密码三类方式进行传播,由于病毒通过文档、外设等企业常用办公工具传播,加上病毒入侵电脑之后会对其同一个网段下的所有终端同时暴力破解密码,所以政府、企业、学校、医院等局域网机构面临的威胁最大,因此维维小编给大家分享这款Viking维金最新版的RoseKerne蠕虫病毒专杀工具供大家使用,针对门罗毕挖矿,windows签名校验机制,传播后门病毒等方面进行恶意威胁,危害极大,快使用Viking维金RoseKerne蠕虫病毒专杀工具将电脑保护起来哦。

    Viking维金RoseKerne蠕虫病毒专杀工具下载

    RoseKerne蠕虫病毒概述

    蠕虫通过移动外围设备(U盘等)传播,劫持Office快捷方式和远程强力密码:

    当通过外围设备传播时,病毒会隐藏外围设备中的原始文件,并创建一个与隐藏文件相同的快捷方式,诱使用户点击,病毒将立即运行;

    传播Office快捷方式后,病毒将劫持Word和Excel快捷方式,允许用户使用病毒代码创建新文档。当用户将这些文档发送给其他用户时,病毒也会传播开来;

    通过远程暴力破解密码传播。病毒入侵计算机后,它还会在同一网段下的所有终端上强制密码并继续传播病毒。

    由于病毒通过文件和外围设备等常用办公工具传播,并且病毒侵入计算机,因此会在同一网段下的所有终端上同时强制密码,因此政府,企业,学校等地方政府面临着威胁和医院。最大值。

    在病毒入侵计算机后,它将窃取数字货币钱包,并使用本地计算资源“挖掘”(Menrocoin)并结束其他采矿程序,以允许它们垄断计算机资源并最大化“挖掘”的好处。此外,该病毒将破坏Windows签名验证机制,导致签名验证无效,使用户感到困惑,并改善对病毒本身的隐藏。 “RoseKernel”病毒也有后门功能。病毒组织可以随时通过远程服务器修改恶意代码。不排除将来向本地执行发布其他病毒模块。

    样本分析

    Velvet最近拦截了一组蠕虫样本,这些样本通过强力远程创建了WMI脚本。该病毒包含远程控制功能,可以发送到任何本地模块执行。目前的危险包括窃取数字货币钱包和利用本地计算资源。 Mining(Monroe)不排除将来向本地执行发布其他病毒模块的可能性。

    模块介绍

    这里的病毒分为rknrl.vbs模块和DM6331.TMP模块分别描述。

    Rknrl.vbs模块

    Rknrl.vbs可以被视为装载机。 DM6331.TMP是加密的VBS代码。它将在读取DM6331.TMP后执行。解密后,DM6331.TMP是病毒的主要功能模块。该模块的功能将落后。详细说明。如图所示,解密的“aB”功能是病毒的主要解密功能,并且大多数加密的字符串将使用该功能解密,这将在后面描述。在这里,病毒作者将加载程序和加密的病毒代码分成两个文件,以避免查杀功能。

    代码解密

    DM6331.TMP模块

    DM6331.TMP模块是病毒的主要模块。由于它的功能很多,它将分为9个部分:后门代码,组件升级,隐藏挖掘,数字货币钱包被盗,签名重用攻击,其他挖掘程序结束,劫持Office组件快捷方式,U盘感染和远程暴力攻击创建WMI脚本。

    后门代码

    首先调用“Getini”函数以获取可用的C&C服务器地址。该网站包含:病毒和采矿程序的下载地址,矿山钱包地址和远程控制C&C服务器地址。获取网站内容后,将调用“chkorder”执行远程控制命令。 “chkorder”功能包括下载,上传和删除任意文件。在当前脚本环境中执行任何vbs代码,启动cmd并获取echo,获取进程列表信息,并结束任何进程。

    RoseKerne蠕虫病毒危害

    获取远控地址

    远程后门指令

    远控功能代码

    组件升级

    DM6331.TMP模块将在WMI中注册名为“rknrlmon”的脚本。该脚本将每8秒执行一次,以获取C&C服务器的远程控制命令。解析获得的内容并将其用作病毒和挖掘程序。升级使用。

    版本升级

    隐藏挖矿

    rknrlmon脚本还会查看当前环境中是否存在任务管理器,如果存在,则结束挖矿程序,反之执行,从而可以提高病毒的隐蔽性。

    隐藏挖矿程序

    盗窃数字货币钱包

    DM6331.TMP中的病毒代码将在执行后遍历受害者磁盘目录,用于窃取数字货币钱包,感染用户网站的主页,但将绕过系统目录和360目录。遍历目录时,文件夹下的文件名包含“wallet”,“electrum”,“。keys”,文件大小小于183600字节,相应的文件将被上传。如果找到文件名当插入与网站默认页面相关的文件名(例如“default.html”或“index.asp”)时,会在页面中插入带有病毒代码的JavaScript脚本标记,解密的JavaScript代码包含指向病毒C&C服务器的指针。链接,该链接当前不可访问,“// v | v \\”字符串将作为受感染的令牌添加到受感染的Web文件中。

    遍历用户目录

    窃取数字货币和感染网站首页

    签名重用攻击

    该病毒通过更改Windows 注册表方式,破坏Windows签名校验机制,从而使其无效的”Microsoft Windows”数字签名验证通过。

    破坏Windows签名校验机制

    感染前后病毒文件数字签名信息

    结束其他挖矿程序

    在启动挖矿程序后,还会通过WMI遍历当前进程列表,如果存在”xmrig”、”xmrig-amd”等含有矿工名称的进程时会结束对应进程。目的是为了独占计算机资源进行挖矿,扩大挖矿收益。

    结束其他挖矿程序

    劫持Office快捷方式

    DM6331.TMP 在执行后会将带有宏的Word文档(rknrl.TMP1)和Excel文档(rknrl.TMP2)拷贝到Office目录下,然后遍历桌面目录,在Word与Excel办公软件的快捷方式添加命令行参数。

    工具介绍

    劫持Word和Excel快捷方式

    被篡改后的快捷方式参数及其解释,

    当启动被劫持的快捷方式后,会调用带有病毒代码的文档文件,病毒代码运行后会在Temp目录下释放rknrl.vbs和DM6331.TMP并注册病毒WMI脚本。因为启动参数为基于病毒文档打开,所以当用户将新建的文档保存后,文档中也会带有病毒代码,如果用户将带有病毒代码的文档发送给其他用户,就会帮助病毒进行传播。

    释放病毒

    U盘传播

    该病毒会在移动存储设备中创建与根目录中文件夹名近乎相同的病毒快捷方式(如果该文件夹名长度不等于一,那么该病毒会删除原始文件名最后一个字符,然后以这个名字创建快捷方式),同时将真实的文件夹隐藏,诱导用户点击执行病毒

    U盘传播代码

    被感染的U盘

    WMI弱口令暴力破解

    也可以通过弱密码暴力远程创建病毒,以创建用于传播的WMI脚本。传播对象不仅限于LAN,还会攻击Internet上存在的任何主机。首先,将获得本地IP,然后除了同一网段上的广播地址之外的所有主机都将受到暴力攻击。之后,病毒会随机生成一个IP地址,通过相同的攻击方法传播外部网络。

      相关软件
      栏目导航
      本类热门阅览