NewKernelCoreMiner 暴力来袭

360主动防御

一：木马概述

近日  360安全中心接到用户反馈，用户在使用任务管理器查看电脑资源占用时候发现lsass.exe进程占用CPU异常高，而且居高不下。我们在提取用户电脑文件后发现这是一类新的驱动挖矿木马，将其命名为NewKernelCoreMiner，已经感染超过十万用户,360安全卫士已经率先支持查杀该木马。

二：木马分析

驱动文件信息为

驱动入口创建随机设备名

注册进程回调:

进程回调中判断进程 注入代码

注入lsass进程后:

注入挖矿代码为开源代码修改而来:

进程CPU占用:

360安全卫士查杀效果:

三：安全提醒

近期挖矿木马非常活跃，让人防不胜防。建议用户及时打上系统补丁,发现电脑卡慢CPU占用过高等异常情况时候使用安全软件扫描，同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招，尽快使用安全软件进行查杀清除木马

此外，360安全卫士推出了挖矿木马防护功能，

全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后，360安全卫士将会实时拦截各类挖矿木马的攻击，为用户计算机安全保驾护航。

wowocock

早说了，这种ROOTKIT随着挖矿流行会大量出现，以后会进化到BOOTKIT。想怎么玩就怎么玩。

vm001

只安装360杀毒，有挖矿木马防护没？

360主动防御

vm001 发表于 2018-6-28 18:36
只安装360杀毒，有挖矿木马防护没？

杀毒也有防护和实时监控的

左手

360主动防御 发表于 2018-6-28 20:02
杀毒也有防护和实时监控的

麻烦你问一下sandworm 他的Malware Defender还会更新么。
你们分析样本不需要用HIPS么？

ELOHIM

左手 发表于 2018-6-28 22:00
麻烦你问一下sandworm 他的Malware Defender还会更新么。
你们分析样本不需要用HIPS么？

我感觉更新也是只有原作者最愿意更新。
不然调试别人的程序是一件非常苦恼的事。
除非是对源代码秒懂那种大神级别另当别论。