還在用工具激活系統?小心被當做礦機!
一、現象描述
近日,深信服EDR安全團隊捕獲到一個偽裝成激活軟體WindowsLoader的病毒樣本。經分析,該樣本並沒有激活功能,其主要功能是安裝廣告軟體以及挖礦程序。
挖礦程序會拉起系統進程並在其中注入挖礦代碼,並循環監控taskmgr.exe進程,如果檢測到taskmgr.exe進程則終止挖礦,使得受害者比較難以察覺。
二、行為分析
2.1 病毒母體
病毒母體圖標偽裝成Windows Loader:
其實是用CreateInstall製作的安裝包:
安裝界面:
釋放如下幾個文件到C:Program Files (x86)KMSPico 10.2.1 Final目錄並運行腳本WINLOADER_SETUP.BAT。
WINLOADER_SETUP.BAT依次運行WindowsLoader.exe、Registry_Activation_2751393056.exe和activation.exe。
WindowsLoader.exe與Registry_Activation_2751393056.exe都是廣告軟體,activation.exe則是挖礦程序。
2.2 WindowsLoader.exe
首先是WindowsLoader.exe,可以看出病毒作者顯然是個攝影愛好者,在程序的資源中也不忘插入自己喜歡的藝術照(已馬賽克處理)。
WindowsLoader.exe安裝界面:
會下載並安裝RunBooster:
安裝RunBooster服務:
RunBoosterUpdateTask升級任務計劃:
RunBooster的抓包行為:
2.3 Registry_Activation_2751393056.exe
Registry_Activation_2751393056.exe安裝界面:
功能存在問題,下載的exe文件沒有帶後綴名:
2.4 activation.exe
首先在Local目錄下新建cypjMERAky文件夾並將自己拷貝到下面。
添加註冊表自啟動項。
檢測是否存在taskmgr.exe進程。
如果taskmgr.exe進程不存在則拉起系統進程wuapp.exe,參數為「 -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -uminepool@gmx.com -p x -t 2」。
將挖礦程序注入到wuapp.exe進程。
挖礦程序為開源的cpuminer-multi 1.2-dev。
進入循環,守護註冊表自啟動項,並檢測taskmgr.exe進程,如果檢測到則終止wuapp.exe。
三、解決方案
(1)不從不明網站下載軟體,不要點擊來源不明的郵件以及附件;
(2)及時給電腦打補丁,修復漏洞;
(3)盡量關閉不必要的文件共享許可權以及關閉不必要的埠,如:445,135,139,3389等;
(4)安裝專業的終端/伺服器安全防護軟體,深信服EDR能夠有效查殺該病毒。
*本文作者:千里目安全實驗室,轉載請註明來自FreeBuf.COM
※BOTCHAIN:第一個基於比特幣協議的功能齊全的殭屍網路
TAG:FreeBuf |