前言: 360安全中心继上次CurlSoftwareBundlerMiner之后又双叒叕监测到了一种新的挖矿木马,且该木马在国内非常活跃,不少用户都不幸中招,因此安全研究员提醒广大用户要特别提高警惕!此次的木马依旧利用微软白文件和NSA武器库的漏洞利用工具,研究员将其命名为ScheduledUpdateMiner。据分析,此次的挖矿木马携带了微软工具 certutil.exe用来做下载器,使其可以隐藏在计划任务中定时启动。同时,它还带了三个驱动用于结束杀软进程并隐藏自身进程和文件,这样不仅使不少杀软无法扫描到该木马,也让用户无法通过查看CPU占用判断电脑是否中毒。最后,为了继续感染其他机器还打包了两个著名的漏洞利用工具“双脉冲星”(DoublePulsar)和“永恒之蓝”(EternalBlue)。
为了让360安全卫士更好地为用户查杀此类病毒,安全研究员对病毒样本做出了如下分析:
1. 和大多数挖矿木马的来源一样,此次的病毒多数来自用户下载的各类软件破解工具和游戏外{过}{滤}挂,这些工具一旦在用户电脑上运行就会使电脑遭到感染。
2. 含有恶意程序的工具运行后会在系统中安装含有参数的计划任务,该参数为: \AppData\Local\Temp\csrss\scheduled.exe /31340” 然后,该计划任务会被系统触发执行。下载下来的木马在运行后会解密执行代码,然后将解密后的内容写入原进程,该执行代码为Go语言编写,它在执行后会上传打点信息。 3. 上述代码执行后木马会被拷贝到\windows\rss\csrss.exe目录下面运行。木马运行后还会下载三个驱动,以此准备挖矿环境。这三个驱动各不相同,各司其职: WinmonProcessMonitor.sys:该驱动的功能为结束各种杀软进程(导致部分杀软无法进行查杀)
(图:要结束的进程名列表) (图:暴力结束进程)
winmonfs.sys:该驱动的功能为隐藏木马文件。木马从应用层传来控制码,然后将控制码添加到列表隐藏。 (图:应用层传来控制码) (图:添加到列表隐藏)
winmon.sys:该驱动的功能为隐藏木马进程(CPU不显示,迷惑用户),其使用的方法为断ActiveProcessLinks链摘除隐藏。
(图:断ActiveProcessLinks链摘除隐藏)
4. 木马程序会下载一个压缩包,其中包含了双脉冲星(DoublePulsar)和永恒之蓝(EternalBlue)两个漏洞利用工具,此举主要是为了感染其他电脑。 (图:解压后的压缩包)
5. 最后,下载挖矿木马到Temp目录下执行(开源代码修改而来): “%userprofile%\appdata\local\temp\wup\wup.exe” 启动参数如下,包含链接矿池和钱包地址: -o stratum+tcp://np.wupdomain.com:30003 -u 49485bb9-4971-4608-bc7a-b5ca7c5ea9cb -p x -k --nicehash -o stratum+tcp://wupdomain.com:80 -u 49485bb9-4971-4608-bc7a-b5ca7c5ea9cb -p x -k --nicehash -o stratum+tcp://xmr.pool.minergate.com:45700 -p x -k --nicehash --api-port 3433 --api-access-token 49485bb9-4971-4608-bc7a-b5ca7c5ea9cb --donate-level=1 –background
安全提醒: 此次的新型木马由于非常活跃,单日拦截量高达30万,所以潜在的受害者也可能高于以往。一旦用户的电脑感染了此类“捆绑式攻击”的挖矿木马,会给用户使用电脑带来极大的不便和更多潜在威胁。360安全卫士建议用户,一旦发现电脑卡慢,或是任何异常现象请及时使用安全软件扫描,保证安全软件处于开启状态。
|