查看: 1820|回复: 1
收起左侧

[技术原创] Burimi挖矿蠕虫攻击超3300万个邮箱,发送欺诈邮件勒索比特币

[复制链接]
腾讯电脑管家
发表于 2019-7-9 14:33:33 | 显示全部楼层 |阅读模式
简介
腾讯安全御见威胁情报中心捕获到一例挖矿蠕虫病毒攻击事件,黑客通过VNC爆破服务器弱口令,得手后先下载门罗币挖矿木马,同时在被感染的电脑上分别验证超过3300万个邮箱帐号密码,若验证成功就向该邮箱发送欺诈勒索邮件。邮件中威胁:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。”
我们根据病毒的验证任务系统推测已知受害邮箱帐户超过3300万个,包括Yahoo、Google、AOL、微软在内的邮件服务均在被攻击之列。由于主模块编写者为“Burimi”,且具有内网传播能力,腾讯安全专家将其命名为“Burimi”挖矿蠕虫。目前,腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。

详细分析:
木马启动后尝试用内置密码列表爆破VNC服务器
爆破成功后会在目标VNC服务器下载木马程序
木马启动后连接http[:]//193.32.161.77/v.exe下载v.exe,从文件的pdb信息看作者为“Burimi”
入口处检测虚拟机以及调试器,环境不匹配就会退出。
禁用安全中心提示,减少被用户发现的概率。
拷贝自身到c:\windows\[random]\win[random].exe并设置run启动项,启动项名
Microsoft Windows Driver
感染U盘以及网络磁盘,写入antorun.inf
劫持剪切板钱包地址,劫持到黑客的钱包地址,目前支持BTC,XMR等
BTC已经劫持到0.14697873个
从以下域名中下载1.exe~8.exe
挖矿模块2.exe
2.exe启动后释放文件
C:\ProgramData\[random]\cfg
C:\ProgramData\[random]\cfgi
C:\ProgramData\[random]\windrv32
C:\ProgramData\[random]\r.vbs
windrv32挖矿模块,cfg是挖矿相关配置,包括矿池和账号
r.vbs设置挖矿模块启动项
邮件勒索模块3.exe
首先访问获取任务ID(URL暂不公布),从本次监控到的ID已达1691个。
每个任务文件携带20000个邮箱账户&密码。
由此可见,入侵者掌握的邮箱帐户数量已超过3300万个,包括yahoo、Gmail、Aol、msn、hotmail等美国知名邮箱服务均受影响。病毒会根据已泄露的用户密码来验证密码正确性,一旦验证成功,就会向该邮箱发送欺诈勒索邮件,声称知道受害用户的所有密码,并限时3天缴纳价值900美元的BTC,不然就把用户的所有隐私信息公布在网上。
黑客接收BTC的钱包地址:1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17,目前看已成功收到0.01BTC

安全建议
1、 更换VNC连接密码为复杂密码,防止类似爆破攻击事件;
2、 关闭不必要的网络文件共享、关闭计算的U盘自动播放等功能,减少中毒可能;
3、 推荐使用腾讯御点或腾讯电脑管家清除“Burimi”蠕虫。
4、 推测攻击者使用了已泄露的大量邮箱帐号做攻击尝试,我们建议使用yahoo、Gmail、Aol、msn、hotmail邮箱的网     友,在收到勒索邮件之后,不必过度恐慌,不必支付比特币。注意更改邮箱帐号密码,启用双重验证,确保帐号安全。
也可以按以下步骤手工清理
删除文件
C:\ProgramData\FtqBnjJnmF[random]\cfg
C:\ProgramData\FtqBnjJnmF[random]\cfgi
C:\ProgramData\FtqBnjJnmF[random]\windrv32
C:\ProgramData\FtqBnjJnmF[random]\r.vbs
c:\windows\48940040500568694\v.exe
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ ftUPeSPdpA.url[random]
删除注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Driver

IOCs
钱包
1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17
1Gx8oRKKczwdB32yiLzVx5hsjAze6g5HHw
qqax27xlp3mlj2xxvg8c907hsjl8rn2c6vvg02zqmk
24dZQuCGWPxHAo541yQ5Ry7diFui4r5PvPYw9569fHSJEZfv1uWdgtxFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97t7VaTr
XkaCs9F83uMSNe8F42uX5VbBD9GVTSnp3D
DAyF8DeCqJMJhSwKaTPfJH6FXT7jgw8Tnh
0x8b7f16faa3f835a0d3e7871a1359e45914d8c344
LWxEL2THVBbUK1hSjUf617WLRVEGR7iajp
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQksjQpiLQVUNjzt3UF
PMtseqzh1KbDrGhzcBcXwgU3sJuWK65AJS
t1YmUJ56BtdzoW5oMCxRdngdG4hJP5vKFca
URL
soruuoooshfrohuo.su
aoruuoooshfrohuo.su
roruuoooshfrohuo.su
toruuoooshfrohuo.su
toruuoooshfrohuo.su
uoruuoooshfrohuo.su
foruuoooshfrohuo.su
zeruuoooshfrohuo.su
zzruuoooshfrohuo.su
bbruuoooshfrohuo.su
soruuoooshfrohoo.su
aoruuoooshfrohoo.su
roruuoooshfrohoo.su
toruuoooshfrohoo.su
toruuoooshfrohoo.su
uoruuoooshfrohoo.su
foruuoooshfrohoo.su
zeruuoooshfrohoo.su
zzruuoooshfrohoo.su
bbruuoooshfrohoo.su
soruuoooshfrohlo.su
aoruuoooshfrohlo.su
roruuoooshfrohlo.su
toruuoooshfrohlo.su
toruuoooshfrohlo.su
uoruuoooshfrohlo.su
foruuoooshfrohlo.su
zeruuoooshfrohlo.su
zzruuoooshfrohlo.su
bbruuoooshfrohlo.su
soruuoooshfrohfo.su
aoruuoooshfrohfo.su
roruuoooshfrohfo.su
toruuoooshfrohfo.su
toruuoooshfrohfo.su
uoruuoooshfrohfo.su
foruuoooshfrohfo.su
zeruuoooshfrohfo.su
zzruuoooshfrohfo.su
bbruuoooshfrohfo.su
ssofhoseuegsgrfnj.su
unokaoeojoejfghr.ru
osheoufhusheoghuesd.ru
fafhoafouehfuh.su
auoegfiaefuageudn.ru
aiiaiafrzrueuedur.ru
osuhughgufijfi.ru
agnediuaeuidhegsf.su
ouhfuosuoosrhfzr.su
agnediuaeuidhegsf.su
unokaoeojoejfghr.ru
URL
hxxp://thaus.to\1.exe
hxxp://thaus.to\2.exe
hxxp://thaus.to\3.exe
hxxp://thaus.to\4.exe
hxxp://thaus.to\5.exe
hxxp://thaus.to\6.exe
hxxp://thaus.to\7.exe
hxxp://thaus.to\8.exe
IP
193.32.161.77
193.32.161.69
MD5
ef7ffba4b98df751763464f404d3010c
f895a1875b3e112df7e4d548b28b9927
1d843f799da25d93d370969e126c32fa
3e26d2428d90c95531b3f2e700bf0e4c
33e45f80f9cbfd841242e8bb4488def1

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ELOHIM
发表于 2019-7-9 15:17:56 | 显示全部楼层

已有人举报此网站不安全
由 thaus.to 托管

建议你不要继续访问此网站。有人向 Microsoft 举报它会对你的计算机构成威胁,可能会泄漏个人或财务信息。
回到安全状态
详细信息   
有人举报此网站包含以下威胁:
恶意软件威胁: 此网站包含指向病毒或其他软件程序的链接,这些病毒或程序可能会向恶意人员泄漏存储在你的计算机上或键入的个人信息。
报告此站点不包含威胁
Windows Defender SmartScreen
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:08 , Processed in 0.151776 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表