Viking维金最新版Viking维金最新版官方下载

最近一则新闻蠕虫病毒RoseKernel迅速蔓延,政企单位网络易被攻击,这不是空穴来风,这样,小编带来了Viking维金最新版的RoseKerne蠕虫病毒专杀工具下载!这款Viking维金最新版能够对...

最近一个新闻蠕虫，RoseKernel，传播速度很快，政企单位网络容易受到攻击，这不是空穴来风。就这样，边肖带来了Viking维金最新版!的RoseKerne蠕虫病毒专杀工具下载这款最新的维京海盗版可以恶意威胁Menlo Bi的挖矿、windows签名验证机制，传播后门病毒，危害非常大。下载软件保护你的电脑！

RoseKerne蠕虫概述：该蠕虫通过三种方式传播：移动外设(u盘等)。)，劫持Office快捷方式和远程暴力破解密码：

当通过外设传播时，病毒会隐藏外设中的原始文件，并创建一个与隐藏文件完全相同的快捷方式，这会诱使用户点击，病毒会立即运行。

病毒通过劫持Office快捷方式传播后，会劫持Word和Excel快捷方式，让用户创建带有病毒代码的新文档。当用户将这些文档发送给其他用户时，病毒也会传播。

通过远程暴力传播密码。病毒入侵计算机后，还会暴力破解同一网段内所有终端的密码，继续传播病毒。

由于病毒通过企业常用的办公工具，如文档、外设等传播，又由于病毒入侵计算机，会同时暴力破解同一网段内所有终端的密码，因此政府、企业、学校、医院等局域网组织面临的威胁最大。

病毒入侵计算机后，会窃取数字货币的钱包，利用本地计算资源“挖矿”(Monroe Currency)，结束其他挖矿程序，从而垄断计算机资源，实现“挖矿”效益最大化。此外，病毒还会破坏Windows签名验证机制，使无效签名验证通过，迷惑用户，提高病毒本身的隐蔽性。“RoseKernel”病毒还有一个后门功能，病毒团伙可以通过远程服务器随时修改恶意代码，不排除以后会将其他病毒模块分发到本地执行。

RoseKerne蠕虫样本分析：样本分析。

天鹅绒最近截获了一组蠕虫病毒样本，这些样本通过暴力破解远程创建了WMI脚本。该病毒包含远程控制功能，并且可以将任何模块发送到本地执行。目前的危害包括窃取数字货币钱包和利用本地计算资源进行挖矿(Monroe Dollar)，不能排除未来将其他病毒模块发送到本地执行的可能性。

模块介绍

本文将病毒分为rknrl.vbs模块和DM6331。TMP模块。

Rknrl.vbs模块

Rknrl.vbs可以看作是一个加载器，DM6331。TMP是一个加密的VBS码，可以读取DM6331。TMP并执行它。解密后，DM6331。TMP是病毒的主要功能模块，这个模块的功能后面会详细介绍。如图所示，解密后的“aB”函数是病毒的主要解密函数，大部分加密后的字符串都会被这个函数解密，后面就不详细描述了。在这里，病毒编写者将加载程序和加密的病毒代码分成两个文件，以避免特征查杀。

代码解密

DM6331。TMP模块。

DM6331。TMP模块是病毒的主要模块，由于其功能众多，将分9个部分进行介绍：后门代码、组件升级、隐藏挖掘、窃取数字货币钱包、签名重用攻击、终止其他挖掘程序、劫持Office组件快捷方式、u盘感染、远程蛮力破解创建WMI脚本。

后门代码

首先调用“Getini”函数获取一个可用的CC服务器地址，包括病毒和挖掘程序的下载地址、挖掘池的钱包地址、远程控制CC服务器地址。获取网站内容后，会调用“chkorder”执行远程控制命令。“chkorder”功能包括下载、上传和删除任何文件、在当前脚本环境中执行任何vbs代码、启动cmd并获取echo、获取进程列表信息以及结束任何进程等功能。

RoseKerne蠕虫危害：获取远程控制地址。

远程后门命令

遥控功能代码。

组件升级

DM6331。TMP模块会在WMI注册一个名为“rknrlmon”的脚本，每8秒启动执行一次，获取CC服务器的远程控制指令，获取的内容经过分析后用于升级病毒和挖掘程序。

版本升级

隐藏采矿。

rknrlmon脚本还将检查当前环境中是否有任务管理器。如果有，就会结束挖掘程序，反之亦然，从而提高病毒隐蔽性。

隐藏挖掘程序。

数字货币钱包被盗。

DM6331中的病毒代码。TMP执行后会遍历受害者的磁盘目录，用于窃取数字货币钱包，感染用户网站首页文件，但会绕过系统目录和360目录。遍历目录时，发现文件夹下的文件名包含关键字“wallet”、“electrum”和”。密钥”，并且文件大小小于183，600字节，那么相应的文件将被上传。如果发现文件名包含“default.html”、“index.asp”等与网站默认页面相关的文件名，则会在页面中插入带有病毒代码的JavaScript脚本标签。解密后的JavaScript代码中包含病毒CC服务器的链接，目前无法访问，字符串“//v|v\\”将作为感染标记添加到被感染网页文件中。

遍历用户目录。

盗取数字货币首页，感染网站。

签名重用攻击

该病毒通过改变Windows注册表模式破坏Windows签名验证机制，从而使其无效的“Microsoft Windows”数字签名验证通过。

破坏Windows签名验证机制。

病毒文件感染前后的数字签名信息。

结束其他采矿程序。

采矿程序启动后，当前流程列表将遍历WMI。如果有包含矿工姓名的进程，如“xmrig”和“xmrig-amd”，则相应的进程将结束。目的是垄断计算机资源用于采矿，扩大采矿收入。

结束其他采矿程序。

劫持办公室快捷方式。

DM6331之后。执行TMP时，它将复制Word文档。TMP1)和Excel文档(rknrl。TMP2)用宏移动到Office目录，然后遍历桌面目录，并将命令行参数添加到Word和Excel办公软件的快捷方式中。

劫持Word和Excel快捷方式。

被篡改的快捷方式参数及其解释，

被劫持的快捷方式启动后，会调用带有病毒代码的文档文件。病毒代码运行后，rknrl.vbs和DM6331。TMP将在Temp目录中发布，病毒WMI脚本将被注册。因为启动参数是基于病毒文档打开的，所以当用户保存新创建的文档时，文档中也会包含病毒代码。如果用户将带有病毒代码的文档发送给其他用户，将有助于病毒的传播。

释放病毒。

u盘传播

病毒会在移动存储设备的根目录中创建一个与文件夹名称几乎相同的病毒快捷方式(如果文件夹名称的长度不等于1，病毒会删除原始文件名的最后一个字符，然后用这个名称创建一个快捷方式)，同时隐藏真实的文件夹，诱导用户点击并执行病毒。

Usb闪存驱动器传播代码

受感染的u盘。

WMI弱密码蛮力破解。

该病毒还可以通过以弱密码暴力破解的形式远程创建WMI脚本来传播。传播对象不限于局域网，还可以攻击互联网上存在的任何主机。先获取本地IP，然后对同一网段内除广播地址外的所有主机进行暴力攻击。之后，病毒会随机生成一个IP地址，通过同样的攻击方式传播到网络之外。

下载地址Viking维金最新版官方下载64位下载地址