政企机构用户注意！蠕虫病毒 Prometei 正在针对局域网横向渗透传播

近日，火绒安全实验室监测到蠕虫病毒“Prometei”正在全网传播。该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵，并且可以跨平台（Window、Linux、macOS 等系统）横向传播。火绒安全提醒广大用户，尤其是企业、政府部门、学校、医院等拥有大型局域网机构，及时做好排查与防护工作，避免受到该病毒影响。目前，火绒安全（个人版、企业版）产品已对该病毒进行拦截查杀。

根据火绒安全实验室溯源分析，该病毒入侵终端后，会通过远程服务器接收并执行病毒作者下发的各类指令，包括挖矿、更新病毒模块、下发新的病毒模块等恶意行为。除此之外，该病毒还会通过创建服务、注册表添加自启动等方式达到长期驻留用户终端的目的，并通过修改防火墙规则来削弱系统安全性，甚至不排除病毒作者通过后门指令对外网终端进行攻击的可能性。

病毒恶意行为执行流程

更为严重的是，该病毒在入侵终端后，还可以根据病毒作者下发的后门指令，对同一网段下的其它终端进行横向渗透攻击，造成更大的影响，威胁更多局域网用户。根据火绒安全实验室分析，病毒主要通过弱口令暴破和漏洞两种方式进行横向渗透，其中，病毒使用的漏洞包括“永恒之蓝”漏洞、Redis 未授权访问漏洞、BlueKeep 漏洞、Apache Log4j 漏洞等常见高危漏洞。另外，该病毒目前依旧在更新中，不排除后续引入更多攻击方式进行横向渗透攻击的可能性。

C&C 服务器地址

蠕虫病毒特点为不断复制自身，且可携带其它病毒模块，并“擅长”通过漏洞攻击或者横向渗透进行传播，从而大面积感染目标设备，是局域网中常见的一大威胁。

近年来，火绒安全也不断升级查杀和防护技术，从而有效阻止蠕虫病毒在局域网肆意传播的现象：如【远程登录防护】功能，可以有效抵挡病毒的 RDP、SMB 等暴破行为；【横向渗透防护】功能可以有效拦截病毒后续渗透入侵行为，做到阻断病毒在局域网内扩散，避免终端受到病毒的影响；【Web 服务保护】、【网络入侵拦截】、【对外攻击拦截】则可以对上述服务漏洞、系统漏洞攻击进行及时拦截。