• 首页 > 信息融合频道 > 网络安全

    XMRig变体矿工堪称挖矿“小强”?感染路径行踪隐蔽,恶意文件一应俱全

    2020年06月30日 21:48:20   来源:中文科技资讯

      近年来,依仗门罗币更好的隐藏机制和挖矿算法等优势,层出不穷的挖矿木马可以更轻松的进行“潜伏”作恶,构建出堪称币圈的“隐秘的角落”,让无数币友恨不能亲自与背后黑手“一起去爬山”。近日,360安全大脑就监测到一款XMRig门罗币变体矿工,以伪装系统WMI服务的形式自2018年起至今,已让全球多国接连“中招沦陷”。eZd中文科技资讯

      该挖矿木马不仅安装程序的感染路径十分隐蔽,持久化手段也同样复杂多端,让普通用户根本防不胜防;而在木马bat脚本下载到宿主电脑的恶意文件中,就连配合挖矿程序读写MSR寄存器的WinRing0x64.sys,和转化powershell脚本为windows平台可执行文件的开源文件ps2exe等也都一一在列,这意味着一旦电脑不幸中招,想要“脱身”简直难上加难。eZd中文科技资讯

      目前,在360安全大脑的极智赋能下,360安全卫士可有效拦截查杀挖矿木马,建议广大用户尽快下载最新版360安全卫士,全面保障个人隐私及财产安全。eZd中文科技资讯

    图片1.jpgeZd中文科技资讯

      藏身“隐秘的角落”eZd中文科技资讯

      挖矿不离“三板斧”eZd中文科技资讯

      据360安全大脑监测显示,该挖矿木马通过捆绑下载器进行传播,其首先调用cmd进程运行font.bat脚本,从服务器上下载一个改编自开源的门罗币矿工bat安装脚本的,随机名临时文件tmpxxxx.tmp.bat,然后调用powershell运行该脚本安装矿机,最终实现常驻于宿主电脑。eZd中文科技资讯

    图片2.jpgeZd中文科技资讯

    图片3.jpgeZd中文科技资讯

      经深度分析后,360安全大脑重现了该挖矿木马猖獗作恶的“三板斧”:eZd中文科技资讯

      一板斧:安装脚本避影匿形,一经开启“反客为主”eZd中文科技资讯

      该脚本改编自开源的门罗币矿工安装脚本,主要功能为下载木马作者在github上存放的挖矿程序,并进行安装。eZd中文科技资讯

    图片4.jpgeZd中文科技资讯

    图片5.jpgeZd中文科技资讯

      下载到挖矿文件压缩包以及解压工具后,脚本自解压文件到"%SYSTEMROOT%\SysWOW64\WMIScriptingAPI"目录下,并设置木马文件属性为系统文件属性和隐藏文件属性,来尽可能隐藏自己,并添加名为compiler的注册表服务项,将windows服务注册工具nssm注册为服务,再以参数的形式,由nssm调用起挖矿程序WMIProviderHost,从而达到挖矿木马长驻宿主电脑的目的。eZd中文科技资讯

    图片6.jpgeZd中文科技资讯

      二板斧:挖矿程序暗度陈仓,完美掩护“敛财”行径eZd中文科技资讯

      木马的挖矿主体为"%SYSTEMROOT%\SysWOW64\WMIScriptingAPI"目录下的WMIProviderHost.exe,该程序将文件信息描述为系统文件(WMIProviderHost)企图迷惑宿主,实际上却是一个霸占用户电脑资源的XMRig门罗币挖矿木马,该木马会读取同目录下的矿池配置文件srnany.exe进行挖矿。eZd中文科技资讯

    图片7.jpgeZd中文科技资讯

      通过查询配置文件中的钱包地址,可以看到在当前被感染的电脑总算力下,该钱包的日收益为0.2258XMR/14.71美元。eZd中文科技资讯

    图片8.jpgeZd中文科技资讯

      三板斧:待利用文件“多重保险”,熟操多样作恶手段eZd中文科技资讯

      在木马作者放置在github上的挖矿文件解压缩文件中,还可以看到NSIS矿工安装程序工具nssy.exe,windows服务注册工具nssm.exe,并且可以看到一些该作者后续准备利用的工具,例如系统文件WinRing0x64.sys及其配置文件(对应的木马解压缩文件名为Sroany.exe及Srmany.exe),该文件可被白利用于内核层访问cpu msr寄存器、直接访问内存、访问io pci设备等,以及转化powershell脚本为windows平台可执行文件的开源文件ps2exe(对应的木马解压缩文件为Process1.exe)。eZd中文科技资讯

      全球多国皆位“中招之列”eZd中文科技资讯

      360安全大脑防控成果斐然eZd中文科技资讯

      值得注意的是,360安全大脑分析统计后发现,该挖矿木马感染范围十分广泛。自2018年起至今,全球几十个国家皆位于“中招之列”。eZd中文科技资讯

    图片9.jpgeZd中文科技资讯

      同时,近半年来,该挖矿木马呈现出稳中有升的增长趋势。因此,对于广大用户来说,安全防范切不可轻易忽视。eZd中文科技资讯

    图片10.jpgeZd中文科技资讯

      不过广大用户无需过分担心,在360安全大脑的极智赋能下,360安全卫士目前已可有效拦截查杀该类挖矿木马。为全面保障广大用户的个人隐私及财产安全,净化网络环境,360安全大脑给出以下几点安全建议:eZd中文科技资讯

      1、前往weishi.360.cn,下载安装360安全卫士,对此类挖矿木马威胁进行有效拦截查杀;eZd中文科技资讯

      2、提高安全意识,建议从正规渠道下载软件,如官方网站或360软件管家等。eZd中文科技资讯

      MD5:eZd中文科技资讯

      2f0e72afcdb13039ab30f7d03b784950eZd中文科技资讯

      d9be3b4f93d9b29a93cea8eef91def15eZd中文科技资讯

      465796a07d7adbda88e37368eba5fd29eZd中文科技资讯

      cd40a754cf31b4e030a3d35ca42b1154eZd中文科技资讯

      325b143e44696b41f98c650600791279eZd中文科技资讯

      c369acef348414438c21cb81bb905db8eZd中文科技资讯

      URLS:eZd中文科技资讯

      hxxp://www.hiperbolicus.com/fonts/old_text_mt_regular.ttfeZd中文科技资讯

      hxxps://raw.githubusercontent.com/hiperbolicus/sigma/master/compiler.zipeZd中文科技资讯

      来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

      如发现本站文章存在问题,提供版权疑问、身份证明、版权证明、联系方式等发邮件至news@citnews.com.cn。

    [编辑: admin ]
    分享到微信

    推荐

    新闻

    稳站大屏AIoT时代之巅,创维Swaiot生态品牌实现全面布

    2020年4月27日,创维电视在线上召开了主题为“我是Swaiot,跟我来”的春季新品发布会。

    互联网+

    零售企业如何创新?

    环境变了,做零售的理念、方式必须要变,并且需要大变

    融合

    从“深度伪造”到“深度合成”:AI为啥需要一次“正

    在世人对AI的“邪恶性”进行攻诘的浪潮中,AI造假,可能已经是现在排首位的理由了。

    创投

    雷军:现在的我,不会投资十年前的我

    在极客公园和 B 站共同举办的 Rebuild 2020:Move on!活动上,1969 年出生的雷军,面对 1999 年出生的,仍在上大学的「何同学」,打开了话匣,道出了自己在人生选择和创业背后的故事与思考。