WinstarNssmMiner来袭：损人利己，暴力挖矿

360安全中心在近期监测到一类挖矿木马异常活跃，此次病毒制造者通过感染用户电脑获得了非常可观的收益。据研究员透露，最近三天360安全卫士查杀拦截此类挖矿病毒已超过50万次，安全员将此类挖矿病毒命名为“WinstarNssmMiner”。此类挖矿病毒最大的与众不同是会阻止用户结束挖矿进程，一旦用户选择结束进程，其电脑会立刻蓝屏。而且此次的挖矿病毒欺软怕硬，碰到强力的杀软会当缩头乌龟，一旦碰到实力不济的杀软它就会关闭正在运行的杀毒软件程序。因此中了此类病毒的用户通常只能面对已经出现卡慢，甚至蓝屏的电脑束手无策。
WinstarNssmMiner木马行为分析
此次的挖矿木马病毒有一个让安全研究员颇为惊讶的特点，那就是该木马病毒会将自身的恶意代码以父进程的形式注入系统进程svchost.exe，然后把该系统进程设置为CriticalProcess，在这种情况下一旦强制结束该进程电脑就会立刻蓝屏。用研究员的话形容就是，这个病毒真是相当的暴力了！
当然，把用户的电脑暴力蓝屏是这个病毒最后的一招，在中病前期，该病毒还会在用户的电脑上进行一系列操作来挖矿获利。
也许有用户说“我已经安装了杀软，杀软会帮我查杀的”。然而，事情并没有想象的那么简单。虽然360安全卫士已经查杀拦截此病毒不下50万次，但研究员发现该病毒会先试探用户电脑里的杀毒软件是否实力强劲，碰到实力强的就抱头鼠窜，碰到软柿子就会强制关闭正在运行的杀软：
首先，该病毒在进入用户电脑后会先检测一遍杀毒软件，如果发现了强力杀毒软件的存在该病毒就会自觉地直接退出。目前，研究人员发现该病毒害怕的有卡巴斯基、Avast等知名杀毒软件。图1：病毒躲避杀毒软件

当该病毒检测过一遍杀毒软件之后就会开始以父进程注入svchost.exe开始挖矿。但这是一个可以“三心二意”的挖矿病毒，在注入系统进程的过程中，该病毒会同时创建两个进程，一个用于挖矿，另一个则循环检测结束杀毒软件，并且还会释放批处理删除源文件。图2：病毒创建两个进程

图3：发窗口消息结束杀软相关进程

虽然“WinstarNssmMiner”有它的独特之处，但其本质仍然是个挖矿木马。该病毒的挖矿模块是使用代码xmrig修改而来(https://github.com/xmrig)。此次的病毒共有四个矿池，根据调用参数不同对应不同矿池。图4：矿池地址

图5：一个参数对应的矿池数据包信息

此次的挖矿病毒总共收获了133个门罗币，按照发稿时的换算标准其价值大约为人民币18万元。图6：其中一个地址的收益

通常挖矿病毒在用户电脑上执行挖矿程序的同时用户会发现电脑变得异常卡慢，然后大部分用户会查看CPU占用率，之后会结束占用CPU高的进程。然而，在该病毒结束了以上一套挖矿流程后，重头戏来了。病毒会设置挖矿进程为 CriticalProcess ，一旦用户结束这个导致电脑卡慢的进程就会导致电脑蓝屏。图7：提示用户是否结束系统进程

图8：ProcessBreakOnTermination = 0x1D

相关文件md5

184001cbd326cb3c03987c350c3ada6a

cf3e0eaf26c74db2bb5f8ba7e2607e2f

0be8a2b5f8a2fc9ad74d8ab9fcf5f583

安全提醒
近期挖矿木马非常活跃，让人防不胜防。建议用户在发现电脑卡慢等异常情况时使用安全软件扫描，同时注意保证安全软件保持开启以进行防御，一旦不慎中招，可尽快使用360安全卫士查杀清除木马。
此外，360安全卫士已经推出了反挖矿功能，该功能可全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后，360安全卫士将会实时拦截各类挖矿木马的攻击，为用户计算机安全保驾护航。