跟用户玩躲猫猫的挖矿木马

一：木马概述

360安全中心近期监控到一类挖矿木马非常活跃，近一周拦截量高达数万次，该木马通过捆绑打包在游戏中，使用户下载运行后中招，有趣的是该木马循环监控任务管理器，一旦发现用户开任务管理器查看CPU进程占用则退出挖矿进程，跟用户玩起了躲猫猫游戏,我们将其命名为NvokaBatMiner。

二：木马分析

木马来源主要是用户下载各种游戏运行而中招。

典型的路径信息为

%userprofile%\documents\counter-strike_1.6.exe

木马批处理被打包捆绑nvoka22.bat隐藏在游戏中，然后被hl.exe启动

批处理会把带密码为w的自解压文件进行运行，木马运行释放到C:\ProgramData\SystemIdle.exe再启动。

SystemIdle.exe运行后调用WinExec创建多个计划任务启动项，设置文件属性隐藏自身，部分参数有：

schtasks /create /tn \Windowss\Data\ServiceRun /tr "C:\ProgramData\SystemIdle.exe" /st 00:00 /sc once /du 9999:59 /ri 1 /f

attrib +s +h "C:\ProgramData\SystemIdle.exe

attrib +s +h %userprofile%\AppData\Roaming\Windows

木马把VBS和木马本身添加多个计划任务启动项，其中下图ASCII.bin和SystemIdel.exe文件其实相同，只是名字不同，Roamer.exe的作用是从s.txt中读取文件路径，然后启动它，也就是给木马创造多个启动机会，防止木马本身被杀。

和上面相同，另外两处计划任务依然是通过调起VBS来启动木马。

木马运行挖矿前会枚举检测进程中是否有attrib.exe、Taskmgr.exe、taskmgr.exe、ProcessHacker.exe，有则退出，没有则创建attrib.exe进程注入XMR开源的挖矿程序进行挖矿。

然后会循环枚举进程中是否有Taskmgr.exe进程（任务管理器），如果发现有，则杀死挖矿进程，可想而知，如果用户中毒后会发现机器很卡，想使用任务管理器查看有什么进程异常，一旦用户打开任务管理器，木马就会发现并杀死挖矿进程，这时候机器就不卡了，防止用户查出木马。

注入attribute.exe的程序是使用XMR开源挖矿代码编译，挖矿参数：

-o pool.monero.hashvault.pro:3333

-u 49JRNtdhGLyPcpYEFQfwZD7f2yeDJRbPRDwGqMN9zwdw6xYCt7P3Tsq2ouokBH7ZuGZtW9e8Du8b2LKYZztzheyEKAS1VTK

-p workers

-k --cpu-priority=1 --max-cpu-usage=50 --donate-level=1

三：安全提醒

近期挖矿木马非常活跃，让人防不胜防。建议用户及时打上系统补丁，一旦发现电脑卡慢等异常情况请立即使用安全软件扫描。同时也请注意保证安全软件的常开以进行防御，一旦受诱导而不慎中招，尽快使用360安全卫士查杀清除木马。

此外，360安全卫士已经推出了挖矿木马防护功能，

全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后，360安全卫士将会实时拦截各类挖矿木马的攻击，为用户计算机安全保驾护航。