淺析用於挖掘虛擬幣的惡意軟體變體CoinMiner-FOZU!
加密貨幣的日益普及激發了一些人瘋狂採礦,在網上賺錢。(採礦是數字貨幣系統中的交易處理,其中新的交易記錄在區塊鏈的數字分類賬中。礦工幫助更新分類賬,驗證和收集新的交易以加入區塊鏈。作為回報,礦工可以賺取比特幣。)如果使用適當的許可權進行的挖掘是資源密集和合法的。
McAfee Labs最近發現了一種惡意軟體變體CoinMiner或CoinMiner-FOZU!。它通過感染用戶可執行文件,將Coinhive JavaScript注入HTML文件,重定向安全產品域名阻止其更新,從而控制受害者的計算機挖掘新虛擬幣。
我們分析的CoinMiner-FOZU!已成為2018年挖幣式商業惡意軟體中的翹楚。(三月份不完整統計數字)資料來源:McAfee Labs
下圖顯示了最近檢測到的CoinMiner-FOZU!的統計數據和地理數據:
W32/CoinMiner在未經用戶同意的情況下使用機器資源挖掘虛擬貨幣。它的寄生特性非常罕見並極具破壞性:惡意軟體不會在其感染的每個文件上放置獨特的標記。因此,相同惡意軟體的後續版本會再次感染受害者的文件。
分析
啟動後,CoinMiner將自己複製到兩個硬編碼位置:
·%Windows%360360SafedeepscanhuDongFangYu.exe
·%filesystemroot%:RECYCLERS-5-4-62-7581032776-5377505530-562822366-6588huDongFangYu.exe
這兩個文件是只讀、隱藏的:
二進位文件從第一個位置執行,開始寄生感染過程。惡意軟體會將其自身添加到用戶可執行文件中,但與傳統文件感染不同,它不允許原文件運行。它針對擴展名為.exe,.com,.scr和.pif的文件,不檢查多次感染。如果軟體被刪除,會再次對系統進行重新感染,則相同的文件將再次成為攻擊目標。
為防止受害者從文件中恢復其乾淨版本,惡意軟體會同時刪除ISO(磁碟映像)和GHO文件:
一旦CoinMiner感染完其他可執行文件,它將Coinhive腳本注入HTML文件。Coinhive提供加密貨幣挖掘軟體,使用可嵌入網站的JavaScript代碼並利用網站訪問者的處理器來挖掘加密貨幣:
CoinMiner會禁用用戶帳戶控制功能,該功能會在應用程序對系統進行更改時通知用戶。通過更新註冊表,它還會禁用文件夾選項和註冊表工具,並刪除安全模式。
從受感染系統上的第二個位置——根目錄下的隱藏autorun.inf——惡意軟體可確保機器重啟後啟動:
為避免被安全產品檢測到,CoinMiner將安全軟體域名放在Host文件中,並將它們重定向到127.0.0.1。如果用戶還沒有創建本地網站,他們將在瀏覽器中看到錯誤頁面。通過這樣做,惡意軟體可以確保沒有受害者可以從安全供應商那裡收到更新。
簡單的主機文件注入,隱藏在回收站中,並最大限度地提高CPU使用率表明這種惡意軟體由新手編寫。McAfee建議所有用戶更新其反安全產品到最新狀態。
McAfee檢測結果
·W32/CoinMiner
·CoinMiner-FOZU![Partial hash]
·TXT/CoinMiner.m
·HTML/CoinMiner.m
·JS/Miner.c
Hashes (SHA-256)
·80568db643de5f429e9ad5e2005529bc01c4d7da06751e343c05fa51f537560d
·bb987f37666b6e8ebf43e443fc4bacd5f0ab795194f20c01fcd10cb582da1c57
·4d6af0dba75bedf4d8822a776a331b2b1591477c6df18698ad5b8628e0880382
※Memcached DDoS攻擊已出現緩解對策
※Get新技能,不用SSH埠轉發繞過防火牆
TAG:嘶吼RoarTalk |