• 新闻
  • 安全
  • 产品展示
  • 关于Seqrite
  序列 博客 博客
  • 新闻
  • 安全
  • 产品展示
  • 关于Seqrite
家   /   恶意软件 • 安全   /  I am invisible – 门罗 (XMR) 矿工
03 九月 2018

I am invisible – 门罗 (XMR) 矿工

撰写者 甘草更多
甘草更多
恶意软件 , 安全
预计阅读时间: 4 分钟

从过去的一年开始,Quick Heal 安全 Labs一直在观察挖掘恶意软件数量的增长。如今,恶意软件作者正在使用挖矿代替勒索软件来赚钱。

最近,Quick Heal 安全 Labs遇到了一种可挖掘Monero(XMR)的恶意软件。该矿工具有许多不同的组件。该挖矿恶意软件的感染媒介仍未确定,但基于归因,该挖矿者通过鱼叉式网络钓鱼,恶意广告等到达系统。

  技术 分析 :

被分析的Miner是一个自解压的可执行文件( 特效 )。提取“C:\ Program Files \ Windriverhost”,如下所示:

  1. vbs(VBScript)
  2. exe(提取实用程序)
  3. rar(受密码保护的存档)
  4. 蝙蝠(批处理文件)
图1:提取的恶意软件组件

提取组件后,它将启动VBScript(jsnel.vbs),如图2所示。

图2:启动jsnel.vbs

jsnel.vbs  包含一段简单的代码即可启动 蝙蝠 .

图3:jsnel.vbs的内容

可执行文件  是用于解压缩档案的命令行实用程序。在这里它用来解压缩密码保护 db.rar .

蝙蝠  该文件包含用于删除密码保护存档和恶意软件的旧版本组件的命令,如图4所示。

图4:chax.bat的内容

蝙蝠 的重要任务是提取以下提到的组件 db.rar  在当前位置并启动ouyk.vbs。

  1. vbs(VBScript)
  2. bat(批处理文件)
  3. json(配置文件)
  4. 驱动程序主机(挖矿工具)
图5:提取的db.rar组件

与以前的VBScript(jsnel.vbs)类似,此脚本(ouyk.vbs)太过启动批处理文件(xvvq.bat)。

图6:ouyk.vbs的内容

xvvq.bat 有两个主要目的:

  1. 要使系统始终保持打开状态,请使用 P 下 碳纤维 命令,以便不会中断挖掘。

          “powercfg-更改-standby-timeout-ac 0” 

  1. 要从分析工具中隐藏driverhost.exe:

          它列举了使用 任务列表 命令以检查下面列出的任何进程是否正在运行,并且如果发现这些进程中的任何一个正在运行,则会杀死driverhost.exe。

     “ 任务管理器 ”

     “ 性能工具 ”

    “ProcessHacker.exe”

    “ 进程表 ”

    “procexp64.exe”

    “ dumpcap.exe ”

    “Wireshark.exe”

    “ anvir.exe ”

但是xvvq.bat中存在一个错误,它仅检查taskmgr.exe并杀死dirverhost.exe,如图7所示。并且如果正在运行procexp.exe之类的其他进程,则不会杀死driverhost.exe。

图7:xvvq.bat的内容

如果上述所有进程均未运行,则它将启动 驱动程序主机 这是一个核心的挖掘工具。它使用xvvq.bat中的无限循环不断检查所有这些进程,并采取相应的措施。

config.json  是一个配置文件,其中存储用户名,密码,最大CPU使用率等数据,如图8所示。

图8:config.json的内容

在执行时, 驱动程序主机 从config.json读取矿工配置并连接到“xmr [。] pool [。] minergate [。] com ”, 并将用户名和密码从config.json发送到服务器,并开始使用端口进行挖掘 45560 (用于采矿的端口)。如图9和图10所示。

图9:网络分析
图10:将用户名和密码发送到服务器

如图11所示,它将挖掘的CPU使用率限制为35%。

图11:driverhost.exe占用的CPU

为了保持持久性,恶意软​​件在启动文件夹中添加了一个快捷方式 乌伊克 .vbs  名称为driverhost.lnk。

图12:为ouyk.vbs创建快捷方式
图13:启动文件夹中ouyk.vbs的快捷方式

矿工的执行流程:

I 超频 :

SHA256:b4ea81958403f717c1a20f18731ef05b648465c7e20cbc6f45bd2f5166c7c940

网址:hxxp:// xmr [。] pool [。] minergate [。] com:45560

快速治愈  将此矿工检测为“特洛伊木马 ”。

结论 :

随着数字货币的价格和升值成倍增长,过去一年中,挖掘恶意软件的数量也在增加。实际上,矿工非常普遍,成千上万台计算机已经被感染。如以上博文所述,挖掘恶意软件的数量已经增加,并且也变得复杂。

主题专家

Ravi Gidwani,Pratik Pachpor |快速修复安全实验室

 Previous Post您的银行真的免受网络威胁吗?进行红队公会...
下一篇文章  为什么信任Seqrite?不要相信我们。听听我们的...
甘草更多
关于甘西姆更多

Ghanshyam是Quick Heal 安全 Labs的安全研究员。他对逆向工程和分析安全漏洞和...感兴趣。

Ghanshyam的文章更多»

相关文章

  • 恶意软件即服务:网络犯罪的9比5

    任何人,甚至您,都可以使用“恶意软件即服务”模式进行网络攻击

    2020年10月30日
  • Masslogger的恶意行为在企业中实施了间谍和键盘记录。

    MassLogger:新兴的间谍软件和键盘记录器

    2020年7月31日
  • 您的路由器是否面临网络威胁

    您的路由器受到网络威胁了吗?这是如何保护它。

    2020年7月30日

没意见

发表评论。您的电子邮件地址将不会被发布。

取消回复

验证码图片
刷新图像

热门帖子

  • Thanos勒索软件通过RIPlace战术逃避反勒索软件的保护 Thanos勒索软件通过RIPlace战术逃避反勒索软件的保护 2020年11月18日
  • 在企业中拥有入侵防御/检测系统的好处 在企业中拥有入侵防御/检测系统的好处 2018年2月15日
  • 您应该采取的5项安全措施来保护您的组织’s network 您应该采取的5项安全措施来保护您的组织’s network 2017年8月11日

特色作者

  •  序列
    序列

    关注我们以获取与安全相关的最新更新和见解...

    阅读更多..
  • 维拉·塔里科特卡(Viraj Talikotkar)
    维拉·塔里科特卡(Viraj Talikotkar)

    Viraj是Quick Heal Technologies的首席技术作家。他一直在...

    阅读更多..
  • 桑杰·卡特(Sanjay Katkar)
    桑杰·卡特(Sanjay Katkar)

    桑杰·卡特(Sanjay Katkar)是...的联合董事总经理兼首席技术官

    阅读更多..

最新的帖子

  • 假期的网络安全:将网络攻击的风险降至最低

    假期的网络安全:将网络攻击的风险降至最低

    2020年12月11日
  • 网络保险可以代替网络安全吗?

    网络保险可以代替网络安全吗?

    2020年12月7日
  • 加速企业数字化转型是否会导致网络威胁?

    加速企业数字化转型是否会导致网络威胁?

    2020年11月25日

保持更新!

主题

Linux防毒软件 (10) 服务器防病毒 (9) 自带设备 (9) 网络攻击 (31) 网络攻击 (56) 网络攻击 (12) 网络安全 (270) 网络安全 (25) 网络威胁 (29) 网络威胁 (44) 数据 (10) 数据泄露 (50) 数据泄露 (27) 资料遗失 (28) 防止数据丢失 (33) 数据保护 (21) 数据安全 (13) DLP (49) 加密 (16) 端点安全 (102) 企业安全 (14) 每股收益 (9) 利用 (12) 防火墙 (11) 骇客 (9) 事件响应计划 (9) 物联网 (9) 恶意软件 (58) 恶意软件攻击 (22) 恶意软件攻击 (12) MDM (25) 移动设备管理 (9) 网络安全 (18) 补丁管理 (12) 网络钓鱼 (16) 勒索软件 (54) 勒索软件攻击 (29) 勒索软件攻击 (30) 勒索软件保护 (12) 序列 (24) 序列加密 (27) 序列 每股收益 (33) 序列服务 (16) UTM (34) 脆弱性 (10)

产品展示

  • 端点安全(EPS)
  • 序列 加密管理器
  • 序列 Endpoint 安全 云
  • 云端安全
  • 序列 mSuite
  • 序列 MobiSMART
  • 统一威胁管理
  • 序列 安全Web网关
  • 服务器防病毒
  • Linux防毒软件

资源资源

  • 白皮书
  • 数据表
  • 威胁报告
  • 说明书
  • 实例探究

关于我们

  • 公司简介
  • 领导
  • 为什么选择SEQRITE?
  • 获奖情况& Certifications
  • 编辑部

档案

  • 按日期
  • 按类别

©2020 快速治愈 Technologies Ltd.(以前称为Quick Heal Technologies Pvt。Ltd.) Cookie政策 私隐政策

我们的网站使用cookie。 Cookies使我们能够提供最佳体验,并帮助我们了解访问者如何使用我们的网站。
浏览本网站即表示您同意我们的 Cookie政策。