一年内数十次更新，360国内首家查杀变种RDP下载器木马( 二 )_2017年

图1 “永恒之蓝”下载器木马近一个月攻击趋势

从病毒拆解情况来看，新增RDP爆破模块是复用了FreeRDP代码才得以实现。而在病毒运行原理上，木马会通过控制服务器下载RDP爆破程序并保存在临时文件夹下，文件名一般为wfreerdp.exe。wfreerdp.exe文件作为RDP爆破模块，将与原有的“永恒之蓝”模块、ipc爆破模块和MsSQL爆破模块共存，以此对网络中存在漏洞或者弱口令设备发起攻击。从360安全大脑给出的弱口令字典来看，包括saadmin、123.com、Huawei@123、1qaz@WSX等在内的百余个弱口令都在攻击范围之内，威胁十分严峻。