近年来,依托门罗币更好的隐藏机制和挖矿算法的优势,层出不穷的挖矿木马可以更轻松地“潜伏”作恶,构筑起一个可以称之为币圈的“隐藏角落”,让无数币友痛恨自己不能和背后的黑手“一起爬山”。近日,360安全大脑检测到一个XMRig Monroe币变种挖矿机。自2018年以来,它以伪装系统WMI服务的形式,导致全球多个国家相继陷入陷阱。
这种挖矿木马不仅隐藏了安装程序的感染路径,而且具有复杂的持久化手段,普通用户根本无法防范。在木马bat脚本下载到主机的恶意文件中,甚至连配合挖矿程序读写MSR寄存器的WinRing0x64.sys、将powershell脚本转换成windows平台可执行文件的开源文件ps2exe都一一列出。这意味着,一旦电脑倒霉,就更难“脱身”了。
目前,在360安全大脑的智能赋能下,360安全卫士可以有效拦截并查杀挖矿木马。建议用户尽快下载360安全卫士最新版本,全面保护个人隐私和财产安全。
躲在“隐蔽角落”,挖矿离不开“三把斧子”
据360安全大脑监测,挖矿木马通过捆绑下载器传播。首先它调用cmd进程运行font.bat脚本,从服务器下载一个临时文件tmpxxxx.tmp.bat,这个文件改编自开源的门罗币矿机bat安装脚本,然后调用powershell运行脚本安装矿机。最后,它驻留在主机上。
经过深入分析,360安全大脑再现了挖矿木马猖獗作恶的“三板斧”:
一把短柄斧:安装脚本藏在暗处,一旦打开,“反客户导向”
该脚本改编自开源的Monroe Coin Miner安装脚本,主要功能是下载安装木马作者存储在github上的挖矿程序。
脚本下载完挖掘文件压缩包和解压工具后,将文件自解压到目录“% systemroot % \\ sys wow 64 \\ wmiscriptingapi”,并将木马文件属性设置为系统文件属性和隐藏文件属性以尽可能隐藏自己,并添加一个名为compiler的注册表服务项,将windows服务注册工具nssm注册为服务。nssm以重参数的形式调用挖矿程序WMIProviderHost,从而达到挖矿木马长期驻留主机的目的。
两轴:挖矿过程黑暗,完美掩盖了“敛财”行为
木马的挖掘主体是“% systemroot % \\ sys wow 64 \\ wmiscriptingapi”目录下的WMIProviderHost.exe。这个程序将文件信息描述为试图迷惑主机的系统文件(WMIProviderHost),但实际上是一个占用用户电脑资源的XMRig Monroe挖币木马。此特洛伊木马将读取同一目录下的矿池配置文件srnany.exe进行挖掘。
通过查询配置文件中的钱包地址,我们可以看到,在当前被感染电脑的努力下,钱包的日收入为0.2258XMR/14.71美元。
三板斧:证件要用“多重保险”,熟悉各种邪恶手段
在木马作者放在github上的挖矿文件的解压文件中,还可以看到nssy.exe的NSIS矿工安装器工具和nssm.exe的windows服务注册工具,还可以看到一些作者以后打算用的工具。比如系统文件WinRing0x64.sys及其配置文件(对应的木马解压文件是Sroany.exe和Srmany.exe)可以被Brix用于内核层访问cpu msr寄存器,直接访问内存,访问io pci设备等。以及将powershell脚本转换成windows平台可执行文件的开源文件ps2exe(对应的木马解压文件为Process1.exe)。
世界上很多国家都在“中招”之列,360安全大脑防控成效显著。
值得注意的是,360安全大脑分析统计后发现,这种挖矿木马的感染范围非常广。2018年以来,全球已有数十个国家处于“中游”。
与此同时,在过去的六个月里,采矿大军
不过,用户也不用太担心。借助360安全大脑的智能赋能,360安全卫士可以有效拦截并查杀这类挖矿木马。为了全面保护用户的个人隐私和财产安全,净化网络环境,360安全大脑给出以下安全建议:
1.去weishi.360.cn,下载安装360安全卫士,有效拦截查杀此类挖矿木马威胁;
2.提高安全意识。建议从正规渠道下载软件,比如官网或者360软件管家。
MD5:
2f 0 e 72 AFC db 13039 ab 30 f 7d 03 b 784950
d 9 be 3 B4 f 93d 9 b 29 a 93 CEA 8 eef 91 def 15
465796 a07d 7 adbda 88 e 37368 EBA 5fd 29
CD 40 a 754 cf 31 B4 e 030 a3 d 35 ca 42 b 1154
325 b 143 e 44696 b 41 f 98 c 650600791279
c 369 acef 348414438 c 21 CB 81 bb 905 db 8
URL:
hxxp://www . hiper bolicus . com/fonts/old _ text _ mt _ regular . TTF
hx XPS://raw . githubusercontent . com/hiper bolicus/sigma/master/compiler . zip
