“暗云4”转投挖矿

360主动防御

前言：

近日 360安全中心监控到暗云的一个新变种木马出现，相比之前版本该版本内核代码没有做太多改动，只是修改了下引导扇区的代码，防止被识别和查杀，不过简单的特征码修改后依然没有逃过我们引导区虚拟机引擎检测。目前360安全卫士已经率先查杀该木马。

木马行为分析

木马文件为：

没有版权信息也没有签名信息。

以管理员权限运行后会改写用户MBR

改写后信息为:

并且依然将MBR备份到第二个扇区:

第二次开机后，这次去掉了DPC保护,其余代码跟之前一样，比如对急救箱工具的对抗:

还会开启线程循环检测以下进程，然后直接结束进程:

最后通过插入APC向Winlogon.exe进程注入代码，网上下载恶意代码挖矿:

拼接的网址为:

创建进程为C:\Windows\Temp\conhost.exe 然后该进程又释放创建挖矿进程

命令行为:

/C ping 127.0.0.1 -n 6 & taskkill -f /im conime.exe /im ups2.exe & copy /Y "C:\Windows

\TEMP\ups2.exe" "C:\Program Files (x86)\Common Files\conime.exe" & "C:\Program Files (x86)\Common Files\conime.exe" -C

然后开始恶意挖矿。

目前360安全卫士已经支持拦截查杀：

安全提醒：

建议广大用户尽量不要轻易下载来历不明的软件，如果发现主页异常，电脑卡慢等可疑情况请尽快使用安全软件对系统进行病毒查杀

wowocock

这个木马比较新，应该还没扩散开来，目前监控看中的很多都是国外用户，比较奇怪。可能木马作者还在布局。

wowocock

最近又发现其通过MySQL MSSQL弱口令入侵用户服务器后传播。看来国内用户也开始中招了。

wowocock

既然火绒帮忙来炒下冷饭，那就再炒一次。
https://mp.weixin.qq.com/s/0hmF_97UcVZAzwm4NlBrDA

lover860305

哇靠，最近挖坑木马真多。都玩数字货币去了。