终端变“矿场”,挖矿病毒借破解版软件无声“开矿”
本帖最后由 火绒安全实验室 于 2025-1-3 17:06 编辑随着互联网的发展,各类软件的功能日益强大,市面上出现了越来越多的付费软件或提供高级功能的订阅服务。为了进行教育与学习、或是节省成本以获取软件的高级功能,寻求并使用未经官方授权的破解软件或许已经成为一种常见现象。虽然破解版软件可以暂时满足使用的需求,但同时也可能会带来病毒感染等风险,轻则影响计算机性能、重则威胁自身信息安全和财产安全。
近期,火绒威胁情报中心监测到 XMRig 挖矿病毒正在通过破解软件进行传播,该破解软件下载链接由 CSDN 用户在其发布的文章中提供。破解软件中的脚本可以进行创建计划任务、检查 CPU 数量与修改挖矿线程数等操作,最终执行 XMRig 挖矿病毒进行挖矿。目前,火绒安全产品可对上述病毒进行拦截查杀。同时,我们希望广大用户能够提高警惕,不要轻易下载和运行来源不明的文件,不要轻信部分软件分享内容中提供的关闭杀毒软件等建议,并通过官方正规渠道下载使用正版软件,以防企业或个人信息泄露以及避免财产损失。
查杀图
该样本执行流程图如下所示:流程图
火绒工程师对样本的分析过程中,发现 CSDN 用户在其发布的文章中不仅提供了该破解软件的下载链接,还添加了“部分杀软会因该版本软件未购买签名证书而阻止运行,可通过将软件目录加入排除项或者信任区来解决。”的“友情提醒”,诱导用户将此破解版软件添加信任。破解软件下载文章
此外,该用户还发布了其他类似的破解软件分享文章,其中的软件都含有挖矿病毒。其他文章
调查后发现,发布分享此类含有挖矿病毒的破解版软件文章的用户并非个例。截至目前,已发现以下用户均发布了相关内容:
[*]https://blog.csdn.net/SM2268XT2?type=blog # 名称为已注销
[*]https://blog.csdn.net/Seika3092?type=blog
[*]https://blog.csdn.net/baobao__36?type=blog
[*]https://blog.csdn.net/smartyguy80?type=blog
[*]https://blog.csdn.net/2404_87139007?type=blog
[*]https://blog.csdn.net/2404_87213641?type=blog
[*]https://blog.csdn.net/YS9085N?type=blog
[*]https://blog.csdn.net/2403_87087630?type=blog
[*]https://blog.csdn.net/RTS5766DL?type=blog
[*]https://blog.csdn.net/2404_87210054?type=blog
[*]https://blog.csdn.net/2400_87157272?type=blog
[*]https://blog.csdn.net/SM2263XT?type=blog
[*]https://blog.csdn.net/yhnmj678?type=blog
[*]https://blog.csdn.net/2201_75554009?type=blog
[*]https://blog.csdn.net/2401_85381299?type=blog
[*]https://blog.csdn.net/2304_76306332?type=blog
[*]https://blog.csdn.net/randkmr?type=blog
其中,最新发布的文章日期是 2024 年 12 月 27 日。
最新发布文章日期
最终经过实际下载查看后,发现破解软件中携带的挖矿病毒均指向同一矿池 104.168.101.23。
一、样本分析start_everEdit.bat 文件头添加了 FF FE,使得文件按照 UTF-16 LE 格式打开,从而导致文件内容显示为乱码。脚本文件头bat 文件乱码
脚本功能:
[*]使用管理员模式重新打开该脚本。
[*]通过修改注册表键值以实现禁用用户账户控制(UAC)的目的。其具体操作是将 ConsentPromptBehaviorAdmin、EnableLUA 和 PromptOnSecureDesktop 设置为 0。
[*]使用 attrib +s +h 命令将 EverEdit.exe 的文件属性设置为系统和隐藏属性。
[*]执行 add.ps1 脚本,执行的命令为 Add-MpPreference -ExclusionPath ($pwd).Path。其功能是将当前目录添加到 Windows Defender 的白名单中。
[*]通过遍历目录并统计文件数量的方式验证文件完整性:若文件总数为 5,则正常执行 EverEdit.exe;若文件数量异常,则提示用户检查杀毒软件隔离区并恢复文件,或关闭杀毒软件后重新解压运行程序。
[*]利用 wmic 获取 CPU 核心数,并将 CrashReporting.bat 中挖矿程序的线程数修改为 CPU 核心数 / 2,以降低其 CPU 占用率。
[*]创建计划任务,在用户登录时延迟 5 分钟运行批处理文件 CrashReporting.bat 。
[*]执行 CrashReporting.bat 文件。
start_everEdit.bat使用户添加信任区或关闭杀软计划任务
该脚本在执行 CrashReporting.bat 文件的过程中,会运行 XMRig 挖矿程序 EverEdit_license.exe 。该挖矿程序指向的矿池 IP 为 104.168.101.23, -B 表示后台执行, -t 表示线程数。其中,线程数 -t 会按照 CPU 核心数的情况作出相应修改,如果 CPU 核心数为 2,线程数就会被设置为 1。CrashReporting.bat
在实际运行该病毒后发现无法连接到矿池。通过进行多地 ping 测试,发现黑龙江和北京地区连接矿池时出现超时现象。ping 图
更换地区后则可以正常运行,且此时 CPU 占用率会提高。下图为去掉 -B 参数后显示的内容。从其中 new job 一行的日志中可以看到,病毒运行所采用的算法是 algo rx/0 ,该算法在 xmrig 文档中记录为门罗币,由此可以推断该私人矿池正在挖取门罗币。挖矿病毒运行图门罗币判断CPU 占用率提高
其中, CPU 占用率提高的原因在于病毒在挖矿过程中需要不断调整随机值,计算区块头的哈希值,直至找到一个小于当前网络目标值的哈希值。这一行为会导致计算量增大,从而使得 CPU 占用率升高。挖矿病毒可以通过多种途径侵入用户电脑。检测是否感染挖矿病毒的常见方法是查看 CPU 的占用率,如果 CPU 占用率一直处于比较高的状态时,则需要怀疑是否中了病毒。
二、附录HASH:
说点大白话:有的小伙伴表示没有学过计算机知识,看不太懂这篇文章,那么你可以参考如下说明。在数字宇宙深处,蛰伏着一些神秘矿工(挖矿病毒)。这些矿工十分狡猾,他们会偷偷潜伏在CSDN星球上部分居民分享的资源(破解版软件)中,暗暗等待猎物上钩。而资源的分享者往往会热心嘱咐说:“你可以信任并放心使用这些资源哦~”然而,一旦有受害者采掘并开始使用这些诱人的资源,这些矿工就会迅速入侵到计算机系统中。他们像邪恶的殖民者,把系统变成自己的矿场,还会利用计算机的能量,无情地挖掘并盗取其中的珍贵资源。等到受害者突然发现,或许自己计算机的能量与财富都已经被消耗殆尽了。
目前,火绒安全产品能够拦截查杀此类病毒。在这里也再次提醒广大用户,认准官方渠道,非官方渠道软件安全性无法保证,各平台下载需谨慎!同时,也希望大家能够擦亮双眼,不要轻信未经官方授权的破解版软件分享内容中所谓关闭杀软或加入信任区的“友情提示”~ 还好找文件从不在CSDN上去找,一是老是搞积分那一套有点坑,二是质量实在是不咋地。{:301_988:} XXDN又上大分了,另外这种故意发布有害软件的可以打110举报了吧 hhh这个我也遇到过,当时看到bat就感觉不对劲,右键拿记事本打开一看就知道有病毒
提醒大家以后遇到bat一定不要直接运行,先看看他的代码里有啥
还有压缩软件里一定要关掉运行自解压程序的选项 CSDN上下载收费都够恶心了,现在还放毒,简直恶心至极 那些csdn账户应该是同一人批量创的 多曝光,曝光。。 感谢分享,文末的大白话解释非常有意思。
通过加文件头的方式阻止正常阅读bat文件的方法还是头一次见,学习了。 战勇 发表于 2025-1-7 10:11
微软自带的WD,它能不能关掉,目前用的是自带
一运行,全关完,火绒都没反应。你自己试试就知道了。我把上重新打开杀毒软件扫描,扫出了病毒。这人这样做太明显了。
多曝光,曝光。。 最恶心的还是钓鱼邮件,有些人永远教育不明白...... 幸好这个管理器没下载。 太吓人了,有段时间电脑无缘无故很卡,不知道是不是中招了 看到bat,应该先打开看一下。 全是乱码就要注意了。 刚刚看到有人发了Total Commander 11.50(正式版),不知道这个版本的有没有植入
https://www.52pojie.cn/thread-1996816-1-1.html 挖矿确实让人头疼,不管是对个人还是企业。 我了个去,吓人 感谢分享
挖矿确实让人头疼,不管是对个人还是企业。