暗云4转投挖矿 360率先查杀

近日 360安全中心监控到暗云的一个新变种木马出现，相比之前版本该版本内核代码没有做太多改动，只是修改了下引导扇区的代码，防止被识别和查杀，不过简单的特征码修改后依然没有逃过我们引导区虚拟机引擎检测。目前360安全卫士已经率先查杀该木马。

木马行为分析

木马文件为：

没有版权信息也没有签名信息。

以管理员权限运行后会改写用户MBR

改写后信息为:

并且依然将MBR备份到第二个扇区:

第二次开机后，这次去掉了DPC保护,其余代码跟之前一样，比如对急救箱工具的对抗:

还会开启线程循环检测以下进程，然后直接结束进程:

最后通过插入APC向Winlogon.exe进程注入代码，网上下载恶意代码挖矿:

拼接的网址为:

创建进程为C:\Windows\Temp\conhost.exe 然后该进程又释放创建挖矿进程

命令行为:

/C ping 127.0.0.1 -n 6 & taskkill -f /im conime.exe /im ups2.exe & copy /Y "C:\Windows

\TEMP\ups2.exe" "C:\Program Files (x86)\Common Files\conime.exe" & "C:\Program Files (x86)\Common Files\conime.exe" -C

然后开始恶意挖矿。

目前360安全卫士已经率先支持拦截查杀：

建议用户尽量不要轻易下载来历不明的软件，如果发现主页异常，电脑卡慢等可疑情况请尽快使用360安全卫士查杀。

下载地址:

http://down.360safe.com/inst.exe

热点排行

热点排行