還在用工具激活系統？小心被當做礦機！

一、現象描述

近日，深信服EDR安全團隊捕獲到一個偽裝成激活軟體WindowsLoader的病毒樣本。經分析，該樣本並沒有激活功能，其主要功能是安裝廣告軟體以及挖礦程序。

挖礦程序會拉起系統進程並在其中注入挖礦代碼，並循環監控taskmgr.exe進程，如果檢測到taskmgr.exe進程則終止挖礦，使得受害者比較難以察覺。

二、行為分析

2.1 病毒母體

病毒母體圖標偽裝成Windows Loader：

其實是用CreateInstall製作的安裝包：

安裝界面：

釋放如下幾個文件到C:Program Files (x86)KMSPico 10.2.1 Final目錄並運行腳本WINLOADER_SETUP.BAT。

WINLOADER_SETUP.BAT依次運行WindowsLoader.exe、Registry_Activation_2751393056.exe和activation.exe。

WindowsLoader.exe與Registry_Activation_2751393056.exe都是廣告軟體，activation.exe則是挖礦程序。

2.2 WindowsLoader.exe

首先是WindowsLoader.exe，可以看出病毒作者顯然是個攝影愛好者，在程序的資源中也不忘插入自己喜歡的藝術照（已馬賽克處理）。

WindowsLoader.exe安裝界面：

會下載並安裝RunBooster：

安裝RunBooster服務：

RunBoosterUpdateTask升級任務計劃：

RunBooster的抓包行為：

2.3 Registry_Activation_2751393056.exe

Registry_Activation_2751393056.exe安裝界面：

功能存在問題，下載的exe文件沒有帶後綴名：

2.4 activation.exe

首先在Local目錄下新建cypjMERAky文件夾並將自己拷貝到下面。

添加註冊表自啟動項。

檢測是否存在taskmgr.exe進程。

如果taskmgr.exe進程不存在則拉起系統進程wuapp.exe，參數為「 -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -uminepool@gmx.com -p x -t 2」。

將挖礦程序注入到wuapp.exe進程。

挖礦程序為開源的cpuminer-multi 1.2-dev。

進入循環，守護註冊表自啟動項，並檢測taskmgr.exe進程，如果檢測到則終止wuapp.exe。

三、解決方案

（1）不從不明網站下載軟體，不要點擊來源不明的郵件以及附件；

（2）及時給電腦打補丁，修復漏洞；

（3）盡量關閉不必要的文件共享許可權以及關閉不必要的埠，如：445,135,139,3389等；

（4）安裝專業的終端/伺服器安全防護軟體，深信服EDR能夠有效查殺該病毒。

*本文作者：千里目安全實驗室，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！