国家计算机病毒应急处理中心通过对互联网的监测,发现一种由Golang语言编写的新型蠕虫病毒近期十分活跃,该蠕虫病毒会主动扫描攻击运行MySQL、Tomcat以及WebLogic服务的Windows和Linux系统服务器,并在受感染的系统中下载XMRig挖矿工具,在受害人不知情的情况下利用系统资源恶意挖掘门罗币,以获取经济利益。 该蠕虫病毒延续了基于Golang语言的恶意软件发展趋势,具有跨平台主动攻击扩散的能力。此次发现的新型蠕虫病毒的攻击活动主要由三个文件完成,一个dropper脚本(bash或powershell)、一个基于Golang语言编写的二进制蠕虫和一个XMRig挖矿工具,所有这些文件都托管在同一C2服务器上。 此次发现的Golang蠕虫病毒恶意功能十分丰富而复杂,不仅具有针对MySQL服务和Jenkins服务的扫描和暴力破解能力,还具有跨多种平台的漏洞利用能力、主动更新恶意软件版本的持久驻留等,具有较强的传播能力和持久化能力,尤其对Linux系统的服务器存在较大威胁。建议国内用户采取以下措施予以防范:一是对服务器资源占用情况进行排查,发现已感染服务器尽快进行隔离,关闭所有网络连接,禁用网卡;二是为MySQL、Jenkins等服务添加复杂密码,限制登录尝试,并在可能的情况下使用2FA(双重身份验证);三是定期对服务器进行加固,尽早修复网络服务相关组件的安全漏洞,并及时进行安全防护软件的升级。