目前，“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)到，“驅(qū)動(dòng)人生”蠕蟲(chóng)病毒（又名“DTStealer”、“LemonDuck”或者“永恒之藍(lán)下載器”）出現(xiàn)了新的變種：通過(guò)在Windows中毒終端下發(fā)SSH暴破相關(guān)模塊，對(duì)互聯(lián)網(wǎng)中的Linux終端進(jìn)行暴破攻擊。當(dāng)前，也已有企業(yè)用戶(hù)陸續(xù)向火絨反饋該病毒問(wèn)題?；鸾q工程師提醒廣大用戶(hù)，尤其企業(yè)用戶(hù)，請(qǐng)及時(shí)排查。

火絨用戶(hù)無(wú)需擔(dān)心，火絨已對(duì)“驅(qū)動(dòng)人生”蠕蟲(chóng)病毒進(jìn)行查殺。同時(shí)，火絨已經(jīng)升級(jí)相應(yīng)的系統(tǒng)加固（系統(tǒng)免疫）攔截規(guī)則，可以攔截該病毒的主要惡意行為，如果用戶(hù)在使用中發(fā)現(xiàn)有病毒觸發(fā)該攔截項(xiàng)，建議用戶(hù)及時(shí)全盤(pán)查殺，并對(duì)局域網(wǎng)內(nèi)的其他終端進(jìn)行排查。

根據(jù)火絨工程師分析，此病毒會(huì)進(jìn)行橫向傳播、下載挖礦病毒、安裝后門(mén)病毒，Windows和Linux都是他的傳播目標(biāo)。除此之外還增加了針對(duì)Linux平臺(tái)服務(wù)器的漏洞攻擊邏輯，病毒使用的漏洞包括：Yarn 未授權(quán)訪(fǎng)問(wèn)漏洞、Redis 未授權(quán)訪(fǎng)問(wèn)漏洞、Weblogic（CVE-2020-14882）、Elasticsearch（CVE-2015-1427）、Solr（CVE-2019-0193）、Docker（Remote API）。病毒更新后，可能造成更多的Linux終端受到該病毒的影響。

事實(shí)上，蠕蟲(chóng)病毒擅長(zhǎng)利用漏洞攻擊或者橫向滲透進(jìn)行傳播，從而大面積感染目標(biāo)設(shè)備。”驅(qū)動(dòng)人生”蠕蟲(chóng)病毒更是不斷升級(jí)漏洞攻擊、暴破攻擊形式和手段，嚴(yán)重影響終端安全。在近幾年的時(shí)間里，火絨安全團(tuán)隊(duì)也對(duì)“驅(qū)動(dòng)人生”蠕蟲(chóng)病毒進(jìn)行了持續(xù)跟蹤：

2018年12月，火絨工程師發(fā)現(xiàn)“驅(qū)動(dòng)人生”旗下多款軟件攜帶后門(mén)病毒DTStealer，僅半天時(shí)間感染了數(shù)萬(wàn)臺(tái)電腦（補(bǔ)充鏈接1）；2020年，火絨監(jiān)測(cè)到“LemonDuck”通過(guò)多種暴破方式（SMB暴破，RDP暴破，SQL Server暴破）和漏洞（USBLnk漏洞，永恒之藍(lán)漏洞）傳播（補(bǔ)充鏈接2）。

近年來(lái)，火絨也不斷升級(jí)查殺和防護(hù)技術(shù)，從而有效阻止類(lèi)似“驅(qū)動(dòng)人生“蠕蟲(chóng)病毒在內(nèi)網(wǎng)肆意傳播的現(xiàn)象：如【遠(yuǎn)程登錄防護(hù)】功能，可以有效抵擋病毒的RDP、SMB等暴破行為?；鸾q個(gè)人版和企業(yè)版2.0也已上線(xiàn)【橫向滲透防護(hù)】功能，可以有效攔截后續(xù)滲透入侵行為，做到阻斷病毒在局域網(wǎng)內(nèi)擴(kuò)散，避免終端受到病毒的影響。

一、詳細(xì)分析
Windows終端下的病毒分析
使用Putty進(jìn)行暴破攻擊,如下圖所示:

Putty暴破攻擊相關(guān)代碼,如下圖所示:

漏洞利用相關(guān)代碼,如下圖所示:?

新增的攻擊方式,如下圖所示:

===================================
Linux終端下的病毒分析
刪除挖礦軟件,如下圖所示:

通過(guò)聯(lián)網(wǎng)IP結(jié)束其他挖礦病毒進(jìn)程,如下圖所示:

下載Linux挖礦病毒,如下圖所示:

借助SSH橫向傳播,如下圖所示:

二、附錄樣本hash

科普：驅(qū)動(dòng)精靈與驅(qū)動(dòng)人生與360驅(qū)動(dòng)！
它們的驅(qū)動(dòng)是通用版！使用起來(lái)都不穩(wěn)定！
常見(jiàn)的就是：
顯卡驅(qū)動(dòng)，很容易花屏！有波紋！
主板驅(qū)動(dòng)，很容易藍(lán)屏故障A5/7B！
USB驅(qū)動(dòng)，鼠標(biāo)鍵盤(pán)一卡一卡，時(shí)靈時(shí)不靈！
建議主板與顯卡去相應(yīng)的官網(wǎng)下載安裝！
部分稀有的，可以考慮使用驅(qū)動(dòng)總裁與萬(wàn)能驅(qū)動(dòng)！
萬(wàn)能驅(qū)動(dòng)使用時(shí)，請(qǐng)注意取消勾選安裝2345全家桶！
驅(qū)動(dòng)總裁使用時(shí)，驅(qū)動(dòng)安裝完畢后，取消勾選安裝小游戲測(cè)試驅(qū)動(dòng)！