从过去的一年开始,Quick Heal 安全 Labs一直在观察挖掘恶意软件数量的增长。如今,恶意软件作者正在使用挖矿代替勒索软件来赚钱。
最近,Quick Heal 安全 Labs遇到了一种可挖掘Monero(XMR)的恶意软件。该矿工具有许多不同的组件。该挖矿恶意软件的感染媒介仍未确定,但基于归因,该挖矿者通过鱼叉式网络钓鱼,恶意广告等到达系统。
技术 分析 :
被分析的Miner是一个自解压的可执行文件( 特效 )。提取“C:\ Program Files \ Windriverhost”,如下所示:
- vbs(VBScript)
- exe(提取实用程序)
- rar(受密码保护的存档)
- 蝙蝠(批处理文件)
提取组件后,它将启动VBScript(jsnel.vbs),如图2所示。
jsnel.vbs 包含一段简单的代码即可启动 蝙蝠 .
可执行文件 是用于解压缩档案的命令行实用程序。在这里它用来解压缩密码保护 db.rar .
蝙蝠 该文件包含用于删除密码保护存档和恶意软件的旧版本组件的命令,如图4所示。
蝙蝠 的重要任务是提取以下提到的组件 db.rar 在当前位置并启动ouyk.vbs。
- vbs(VBScript)
- bat(批处理文件)
- json(配置文件)
- 驱动程序主机(挖矿工具)
与以前的VBScript(jsnel.vbs)类似,此脚本(ouyk.vbs)太过启动批处理文件(xvvq.bat)。
xvvq.bat 有两个主要目的:
- 要使系统始终保持打开状态,请使用 P 下 碳纤维 命令,以便不会中断挖掘。
“powercfg-更改-standby-timeout-ac 0”
- 要从分析工具中隐藏driverhost.exe:
它列举了使用 任务列表 命令以检查下面列出的任何进程是否正在运行,并且如果发现这些进程中的任何一个正在运行,则会杀死driverhost.exe。
“ 任务管理器 ”
“ 性能工具 ”
“ProcessHacker.exe”
“ 进程表 ”
“procexp64.exe”
“ dumpcap.exe ”
“Wireshark.exe”
“ anvir.exe ”
但是xvvq.bat中存在一个错误,它仅检查taskmgr.exe并杀死dirverhost.exe,如图7所示。并且如果正在运行procexp.exe之类的其他进程,则不会杀死driverhost.exe。
如果上述所有进程均未运行,则它将启动 驱动程序主机 这是一个核心的挖掘工具。它使用xvvq.bat中的无限循环不断检查所有这些进程,并采取相应的措施。
config.json 是一个配置文件,其中存储用户名,密码,最大CPU使用率等数据,如图8所示。
在执行时, 驱动程序主机 从config.json读取矿工配置并连接到“xmr [。] pool [。] minergate [。] com ”, 并将用户名和密码从config.json发送到服务器,并开始使用端口进行挖掘 45560 (用于采矿的端口)。如图9和图10所示。
如图11所示,它将挖掘的CPU使用率限制为35%。
为了保持持久性,恶意软件在启动文件夹中添加了一个快捷方式 乌伊克 .vbs 名称为driverhost.lnk。
矿工的执行流程:
I 超频 :
SHA256:b4ea81958403f717c1a20f18731ef05b648465c7e20cbc6f45bd2f5166c7c940
网址:hxxp:// xmr [。] pool [。] minergate [。] com:45560
快速治愈 将此矿工检测为“特洛伊木马 ”。
结论 :
随着数字货币的价格和升值成倍增长,过去一年中,挖掘恶意软件的数量也在增加。实际上,矿工非常普遍,成千上万台计算机已经被感染。如以上博文所述,挖掘恶意软件的数量已经增加,并且也变得复杂。
主题专家
Ravi Gidwani,Pratik Pachpor |快速修复安全实验室
没意见