|
一:木马概述 360安全中心近期监控到一类挖矿木马非常活跃,单日拦截量高达30万。该木马带了开源工具Curl.exe 或者是wget.exe,参数加上木马下载地址隐藏在系统计划任务中,使得不少杀毒软件无法扫描到该木马,中招后用户电脑会被推广安装上七八个“推广”软件,并且还会篡改浏览器首页,最后还会下载一个挖矿木马后台偷偷执行。我们将其命名为CurlSoftwareBundlerMiner。
二:木马分析 木马来源主要是用户下载各种软件破解 外{过}{滤}挂等各类工具运行而中招。
木马安装包解密执行:
然后下载释放Curl白利用文件:
创建计划任务:
创建两个计划任务项目:
其中Curl对应的执行文件为curl_7_54.exe,该文件为开源工具Curl.exe 带参数 该计划任务被触发后 会下载一个木马到"%UserProfile%\AppData\Roaming\curl\curl.exe"而后被Curls计划任务触发执行,该木马主要功能为下载挖矿木马和推广各种软件并且修改用户浏览器主页获利。
释放第一个下载器传入参数运行下载安装:
1.tmp.exe 带有正常的LLC Mail.Ru签名,下载na_runner.exe –install 静默安装,添加启动项,修改浏览器主页
篡改用户浏览器主页:
释放第二个下载器传入参数运行下载安装:
8.temp.exe和上一个文件带的签名相同,这次是静默安装浏览器的。
下载安装挖矿木马:
挖矿木马带有TOV "RED TABURET"正常的数字签名
将自身拷贝到C:\WINDOWS\Microsoft\svchost.exe 后添加服务运行
该服务实际上是一个挖矿木马,用来挖XMR矿: -a cryptonight -o stratum+tcp://mine.moneropool.com:3333 -u 4B9Darzi85pHxc53y1KZ6BHpFhdFSbTMYHMbK5BCByM36HsbsXqVzHYHwkybR1272oaZ4zPJ2EP79bw4dRUJR9pLSebAhDM -p x 三:相关文件md5 f81069b5b3f7d8274e563a628929cde2 4dbc6848a826c4e98587d8fecf390a47 cf464d1f8ff321a74fddb4e00c20876a
四:安全提醒 近期挖矿木马非常活跃,让人防不胜防。建议用户发现电脑卡慢等异常情况时候使用安全软件扫描,同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招,尽快使用杀毒软件查杀清除木马
| 
发表于 2018-5-23 12:26:41
