OneSystemCare挖矿木马疯狂来袭 感染量已达百万

一：木马概述

360安全中心接到用户反馈，在下载安装了一款名为OneSystemCare的工具时候，电脑会被植入恶意挖矿木马和修改用户DNS配置强行插入广告木马，木马入侵电脑后会使用用户电脑疯狂的挖矿，让中毒的电脑成为他们牟利的肉鸡,并且将创建PowerShell加密脚本定期连接木马服务器下载执行木马，隐藏到计划任务中。目前360安全卫士已经支持该木马查杀拦截，近一周查杀量已过百万,建议近期使用过该软件的用户尽快使用安全卫士查杀清理。

二：木马分析

木马简要流程：

安装该清理优化软件后添加powershell脚本计划任务启动项，特定时间下发启动木马，启动木马会对用户机器进行统计打点，并下载挖矿木马添加启动项运行之后退出，挖矿木马长期进行挖矿进行牟利，即使木马被删除，只要powershell脚本启动还存在就可以随时复活。

 

木马特点：

1、看似正规清理软件 带有数字签名，背地做木马勾当。

2、使用powershell脚本添加启动项，无文件落地，躲避杀软查杀，随时可复活。

3、木马先解码自身代码再运行，使用动态API获取，躲避杀毒软件静态扫描。

4、挖矿协议全部加密，躲避杀软监控拦截，并且木马修改系统DNS，劫持浏览器流量，弹出广告。

 

详情：

One System Care安装后，会通过powershell脚本添加计划任务作为启动项

​

​

 

Powershell的脚本是经过beas64转码，解码后为：

​

​

启动脚本定时去执行请求URL，木马作者只需要将URL设置成木马可下载，用户就会中招。

 

下载后启动木马会进行打点统计中招用户信息，并下载挖矿木马进行安装：

 

 

感染上报：

legco.info/u/

ough.info/u/

heato.info/u/

yelts.net/u/

deris.info/u/

big4u.org/u/

listcool.net/u/

listcool.info/u/

monoset.info/u/

 

Zip加密后的木马下载地址：

http://xxx.info/win_setup.dat

http://xxx.info/win_setup.dat

http://xxx.info/win_setup.dat

http://xxx.info/win_setup.dat

​

​

​

​

上传用户信息:

​

并且确保一段时间内只安装一次，注册表位置为卸载项目录下面的mid键

​

然后修改用户DNS

​

 

木马随后又会下载挖矿木马并添加计划任务启动项来实现自动运行

C:\WINDOWS\system32\regsvr32.exe  /n /s /i:"/5325aff7e1e58750

/q" "C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\2A6664~1\{B3373~1.DLL"

​

​

​

先将用户电脑信息打包上传

​

​

 

而后服务器根据用户配置信息下发挖矿指令,

挖矿使用门罗币xmrig开源代码修改而来

 

矿池信息：

​

​

​

通讯协议全都加密，解密后内容为：

​

​

​

​

​

三：相关文件md5

f7a1b769973744d3e4b336651968af0d

3ab6d2ccaa01dbd1746f7032f38e9d5a

d5130df1eda5a018f041ac36149b7a9f

 

四：安全提醒

近期挖矿木马非常活跃，建议用户在下载软件尽量开启安全软件，发现电脑变卡慢时候可现用安全软件扫描，防止变成挖矿肉鸡。