查看: 3262|回复: 5
收起左侧

[技术原创] NewKernelCoreMiner 暴力来袭

[复制链接]
360主动防御
发表于 2018-6-27 16:05:17 | 显示全部楼层 |阅读模式

一:木马概述

近日  360安全中心接到用户反馈,用户在使用任务管理器查看电脑资源占用时候发现lsass.exe进程占用CPU异常高,而且居高不下。我们在提取用户电脑文件后发现这是一类新的驱动挖矿木马,将其命名为NewKernelCoreMiner,已经感染超过十万用户,360安全卫士已经率先支持查杀该木马。



二:木马分析


驱动文件信息为



驱动入口创建随机设备名



注册进程回调:



进程回调中判断进程 注入代码



注入lsass进程后:


注入挖矿代码为开源代码修改而来:



进程CPU占用:



360安全卫士查杀效果:


三:安全提醒

近期挖矿木马非常活跃,让人防不胜防。建议用户及时打上系统补丁,发现电脑卡慢CPU占用过高等异常情况时候使用安全软件扫描,同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招,尽快使用安全软件进行查杀清除木马


此外,360安全卫士推出了挖矿木马防护功能,

全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。


wowocock
发表于 2018-6-27 16:08:17 | 显示全部楼层
早说了,这种ROOTKIT随着挖矿流行会大量出现,以后会进化到BOOTKIT。想怎么玩就怎么玩。
vm001
发表于 2018-6-28 18:36:10 | 显示全部楼层
只安装360杀毒,有挖矿木马防护没?
360主动防御
 楼主| 发表于 2018-6-28 20:02:45 | 显示全部楼层
vm001 发表于 2018-6-28 18:36
只安装360杀毒,有挖矿木马防护没?

杀毒也有防护和实时监控的
左手
发表于 2018-6-28 22:00:32 | 显示全部楼层
360主动防御 发表于 2018-6-28 20:02
杀毒也有防护和实时监控的

麻烦你问一下sandworm 他的Malware Defender还会更新么。
你们分析样本不需要用HIPS么?
ELOHIM
发表于 2018-6-28 23:19:24 | 显示全部楼层
左手 发表于 2018-6-28 22:00
麻烦你问一下sandworm 他的Malware Defender还会更新么。
你们分析样本不需要用HIPS么?

我感觉更新也是只有原作者最愿意更新。
不然调试别人的程序是一件非常苦恼的事。
除非是对源代码秒懂那种大神级别另当别论。

评分

参与人数 1人气 +1 收起 理由
左手 + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:16 , Processed in 0.122784 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表