腾讯威胁情报中心最近发现一款名为HolesWarm的跨平台蠕虫病毒，其控制失陷系统进行门罗币挖矿牟利。该蠕虫病毒近期扩散十分迅速，自6月上旬以来，已造成多次入侵高峰，累计攻陷云主机过千台，包括Windows、Linux平台主机。HolesWarm病毒会利用中国国内使用率较高的网络组件高危漏洞攻击传播，包括国内常用的用友、致远等办公组件，以及Tomcat、Weblogic、Shiro、Structs2、XXL-JOB、Spring boot、Jenkins等20余个网络组件均受影响。HolesWarm病毒会在二进制文件末尾添加时间戳，使恶意文件的MD5不断变化，从而对抗针对文件MD5的安全检测。针对Windows平台，恶意程序模块注入系统应用以隐藏进程。针对Linux平台进行系统so预加载库劫持，目的是保护隐藏恶意进程，使恶意文件不被运维人员发现。HolesWarm病毒会对已入侵的Windows主机LSASS进程dump后上传分析，其目的是窃取失陷系统的用户名密码等关键数据。同时尝试对已入侵的Linux主机使用历史ssh连接以实现远程控制。