近日感知多起服务器被入侵挖矿事件，分析发现bulehero挖矿木马不光使用弱口令爆破并且利用多个服务器组件漏洞进行攻击，利用多个漏洞在局域网内进行蠕虫式的攻击传播，会影响网络性能，而病毒的挖矿行为更会浪费计算机资源，对企业的生产系统产生严重影响。截止目前，从该病毒使用的其中一个钱包地址看，已挖到门罗币42个（折合人民币2.1万元）。

看到这个，突然想起WannaCry勒索病毒。该病毒也是蠕虫传播的。2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。

1.病毒概况

二、病毒详细分析

1、mssecsvc.exe行为

1）开关

病毒在网络上设置了一个开关，当本地计算机能够成功访问了之后退出进程，就不再进行传播感染了。

2）蠕虫行为

通过创建服务启动，使用cmd命令启动自身，防止被结束进程：

各参数服务信息

从病毒自身读取MS17_010漏洞利用代码，playload分为x86和x64两个版本。

创建两个线程，分别扫描内网和外网的IP，开始进程蠕虫传播感染。

对公网随机ip地址445端口进行扫描感染。

对于局域网，则直接扫描当前计算机所在的网段进行感染。

感染过程，尝试连接445端口。

如果连接成功，则对该地址尝试进行漏洞攻击感染。

3）释放敲诈者

解密器运行之后会删除windows自动备份 无法还原被加密的文件

修改桌面背景 显示勒索信息

弹出勒索窗口，显示比特币钱包地址和付款金额

然后一个让人心惊胆跳的漏洞病毒就这样出现了。

WF曲速区提醒：bulehero挖矿木马利用漏洞蠕虫式攻击这个事件再次提醒了我们安全是没有绝对的对于漏洞安全问题需要时刻警惕。