国内遭NSASrvanyMinner挖矿木马攻击：病毒利用微软白文件全副武装

近日，360安全中心监测到了一类挖矿木马在国内异常活跃，此类木马不光利用了微软白文件srvany.exe逃避杀毒软件的扫描，而且还利用了美国NSA武器库中的好几个漏洞利用工具把自己全副武装，使用户电脑极易受到此类病毒的攻击。因此，360安全中心研究员将此类挖矿木马命名为NSASrvanyMinner。

360的安全专家在监测到此挖矿木马的活动后对病毒样本进行了分析。分析发现，此类木马为易语言所编写，该病毒程序在受害者电脑上运行后会释放两个木马文件，第一个文件muma.exe可被攻击者用来远程控制用户电脑，第二个文件rasm.exe则被用来在受害者电脑上实施挖矿。

文件muma.exe在受害者电脑上运行后会从云端下载木马核心加密的DLL程序，此程序解密后会进行内存加载运行。专家经解密分析后发现该程序为大灰狼远程控制的变种。该木马程序不仅支持攻击者远程控制用户电脑，还能支持检测杀毒软件。

图1：远程控制木马下载核心加密DLL地址

图2：调用木马导出函数传入上线反弹地址

图3：木马支持远程控制计算机功能，还支持检测杀毒软件

第二个木马文件rasm.exe在用户电脑上运行后，会通过利用微软白利用srvany.exe文件做启动项，从而自动启动挖矿程序CPUInfo.exe，并且释放扫描器和各种漏洞利用工具来实现自动传播。

图4：利用srvany.exe来自动启动挖矿软件（srvany.exe是Microsoft Windows Resource Kits工具集的一个实用的小工具，用于将任何EXE程序作为Windows服务运行）

图5：木马自带包含“永恒之蓝”在内的5款漏洞利用工具

挖矿程序CPUInfo.exe会释放并调用csrs.exe（实际就是xmrig.exe）挖矿工具进行挖矿，启动参数如下所示（包含链接矿池及钱包地址）：

-o stratum+tcp://minero.posthash.org:8080

-o stratum+tcp://note.posthash.org:443

-o stratum+tcp://note1.posthash.org:5555

-u 43BEKp4t8km3wEBasxmPMcV5n5XPPjRN4VcicaSwKZkTHxKzc4hTYwd3tyqR8SLZahfuSsTeJEG3fcEMnX3jA1F86iao1GU

-p x

图6：CPUInfo.exe进行挖矿

360安全提示

近期，国内挖矿木马非常活跃，让人防不胜防。360安全卫士建议用户及时打上系统补丁,发现电脑卡慢等异常情况时使用安全软件扫描，同时注意保证安全软件的常开以进行防御，一旦受攻击者诱导而不慎中招，请尽快使用360安全卫士查杀清除木马。

此外，360安全卫士已经推出了挖矿木马防护功能，此功能可全面防御从各种渠道入侵的挖矿木马。用户开启该功能后，360安全卫士将会实时拦截各类挖矿木马的攻击，为用户计算机安全保驾护航。
v