淺析用於挖掘虛擬幣的惡意軟體變體CoinMiner-FOZU！

加密貨幣的日益普及激發了一些人瘋狂採礦，在網上賺錢。（採礦是數字貨幣系統中的交易處理，其中新的交易記錄在區塊鏈的數字分類賬中。礦工幫助更新分類賬，驗證和收集新的交易以加入區塊鏈。作為回報，礦工可以賺取比特幣。）如果使用適當的許可權進行的挖掘是資源密集和合法的。

McAfee Labs最近發現了一種惡意軟體變體CoinMiner或CoinMiner-FOZU！。它通過感染用戶可執行文件，將Coinhive JavaScript注入HTML文件，重定向安全產品域名阻止其更新，從而控制受害者的計算機挖掘新虛擬幣。

我們分析的CoinMiner-FOZU!已成為2018年挖幣式商業惡意軟體中的翹楚。（三月份不完整統計數字）資料來源：McAfee Labs

下圖顯示了最近檢測到的CoinMiner-FOZU！的統計數據和地理數據：

W32/CoinMiner在未經用戶同意的情況下使用機器資源挖掘虛擬貨幣。它的寄生特性非常罕見並極具破壞性：惡意軟體不會在其感染的每個文件上放置獨特的標記。因此，相同惡意軟體的後續版本會再次感染受害者的文件。

分析

啟動後，CoinMiner將自己複製到兩個硬編碼位置：

·%Windows%360360SafedeepscanhuDongFangYu.exe

·%filesystemroot%:RECYCLERS-5-4-62-7581032776-5377505530-562822366-6588huDongFangYu.exe

這兩個文件是只讀、隱藏的：

二進位文件從第一個位置執行，開始寄生感染過程。惡意軟體會將其自身添加到用戶可執行文件中，但與傳統文件感染不同，它不允許原文件運行。它針對擴展名為.exe，.com，.scr和.pif的文件，不檢查多次感染。如果軟體被刪除，會再次對系統進行重新感染，則相同的文件將再次成為攻擊目標。

為防止受害者從文件中恢復其乾淨版本，惡意軟體會同時刪除ISO（磁碟映像）和GHO文件：

一旦CoinMiner感染完其他可執行文件，它將Coinhive腳本注入HTML文件。Coinhive提供加密貨幣挖掘軟體，使用可嵌入網站的JavaScript代碼並利用網站訪問者的處理器來挖掘加密貨幣：

CoinMiner會禁用用戶帳戶控制功能，該功能會在應用程序對系統進行更改時通知用戶。通過更新註冊表，它還會禁用文件夾選項和註冊表工具，並刪除安全模式。

從受感染系統上的第二個位置——根目錄下的隱藏autorun.inf——惡意軟體可確保機器重啟後啟動：

為避免被安全產品檢測到，CoinMiner將安全軟體域名放在Host文件中，並將它們重定向到127.0.0.1。如果用戶還沒有創建本地網站，他們將在瀏覽器中看到錯誤頁面。通過這樣做，惡意軟體可以確保沒有受害者可以從安全供應商那裡收到更新。

簡單的主機文件注入，隱藏在回收站中，並最大限度地提高CPU使用率表明這種惡意軟體由新手編寫。McAfee建議所有用戶更新其反安全產品到最新狀態。

McAfee檢測結果

·W32/CoinMiner

·CoinMiner-FOZU![Partial hash]

·TXT/CoinMiner.m

·HTML/CoinMiner.m

·JS/Miner.c

Hashes (SHA-256)

·80568db643de5f429e9ad5e2005529bc01c4d7da06751e343c05fa51f537560d

·bb987f37666b6e8ebf43e443fc4bacd5f0ab795194f20c01fcd10cb582da1c57

·4d6af0dba75bedf4d8822a776a331b2b1591477c6df18698ad5b8628e0880382

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！