自12月初以来，一种新型的基于Golang的蠕虫一直在积极地在Windows和Linux服务器上删除XMRig加密货币恶意软件，从而挖掘了Monero。

自12月初以来，一种新发现且自我传播的基于Golang的恶意软件一直在积极地在Windows和Linux服务器上丢弃XMRig加密货币矿工。

这种多平台恶意软件还具有蠕虫功能，可以通过弱口令对蛮荒的面向公众的服务（即MySQL，Tomcat，Jenkins和WebLogic）进行传播，使其传播到其他系统，这是Intezer安全研究员Avigayil Mechtinger透露的。

自该活动首次被发现以来，攻击者一直在通过其命令和控制（C2）服务器积极地更新蠕虫的功能，这暗示着一个正在主动维护的恶意软件。

C2服务器用于托管bash或PowerShell Dropper脚本（取决于目标平台），基于Golang的二进制蠕虫和XMRig挖矿器，用于在受感染的设备上秘密挖掘无法追踪的Monero加密货币。

＆＃34;在发布此书时，VirusTotal中都完全未检测到ELF蠕虫二进制文件和bash dropper脚本，＆＃34; Mechtinger说。

该蠕虫通过使用密码喷雾和一系列硬编码凭据扫描并强制执行MySql，Tomcat和Jenkins服务，从而将其传播到其他计算机。

还可以看到该蠕虫的旧版本试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。

一旦设法攻陷目标服务器之一，它将部署加载程序脚本（对于Linux为ld.sh，对于Windows为ld.ps1），该脚本同时删除XMRig挖矿程序和基于Golang的蠕虫二进制文件。

如果恶意软件检测到受感染的系统正在侦听端口52013，它将自动杀死自己。如果未使用该端口，该蠕虫将打开自己的网络套接字。

＆＃34;蠕虫的代码与其PE和ELF恶意软件几乎相同，并且VirusTotal中未检测到ELF恶意软件，这表明对于大多数安全和检测平台，Linux威胁仍在雷达下蔓延，＆＃34 ; Mechtinger添加了。

为了抵御这种新的多平台蠕虫病毒发起的暴力攻击，您应该限制登录名，并在所有Internet公开的服务上使用难以猜测的密码，并尽可能使用两因素身份验证。

除非绝对必要，否则请始终确保您的软件始终处于最新状态，并确保您的服务器无法通过Internet访问，这是防御这种新的恶意软件威胁的其他方法。