火绒监测LemonDuck病毒 “柠檬鸭”持续扩散 多种暴破方式攻击用户电脑

近期，通过我们火绒终端威胁情报系统发现，LemonDuck病毒在互联网中大量传播。由于该病毒会通过暴破和漏洞利用执行远程命令等方式进行传播，从而造成该病毒在互联网中的感染量较大。主机在被入侵感染后，会执行木马下载器PowerShell脚本。该脚本经过多次混淆，运行后会下载执行病毒传播模块（if.bin）和挖矿模块（m6.bin, m6g.bin）。在利用被攻陷主机资源挖矿的同时，还会继续尝试入侵网络内的主机进行横向传播。

“LemonDuck”通过多种暴破方式（SMB暴破，RDP暴破，SQL Server暴破）和漏洞（USBLnk漏洞，永恒之蓝漏洞）传播。病毒入侵用户电脑后，会执行木马下载器PowerShell脚本。该脚本运行后会下载执行挖矿模块和病毒传播模块。