【安全播报】暗云4 转投挖矿 360率先查杀

       前言：暗云4 驱动木马又更新了，建议小伙伴们尽量不要轻易下载来历不明的软件，如果发现主页异常，电脑卡慢等可疑情况请尽快使用360安全卫士查杀。


       近日 360安全中心监控到暗云的一个新变种木马出现，相比暗云之前版本该版本网上下载恶意代码转投挖矿，内核代码没有做太多改动，只是修改了下引导扇区的代码，防止被识别和查杀，不过简单的特征码修改后依然没有逃过我们引导区虚拟机引擎检测。目前360安全卫士已经率先查杀该木马。

暗云四部曲


木马行为分析
木马文件为：


没有版权信息也没有签名信息。

以管理员权限运行后会改写用户MBR

改写后信息为:


并且依然将MBR备份到第二个扇区:


第二次开机后，这次去掉了DPC保护,其余代码跟之前一样，比如对急救箱工具的对抗:


还会开启线程循环检测以下进程，然后直接结束进程:


最后通过插入APC向Winlogon.exe进程注入代码，网上下载恶意代码挖矿:

拼接的网址为:


创建进程为C:\\Windows\\Temp\\conhost.exe 然后该进程又释放创建挖矿进程

命令行为:

/C ping 127.0.0.1 -n 6 & taskkill -f /im conime.exe /im ups2.exe & copy /Y \C:\\Windows

\\TEMP\\ups2.exe\ \C:\\Program Files (x86)\\Common Files\\conime.exe\ & \C:\\Program Files (x86)\\Common Files\\conime.exe\ -C

然后开始恶意挖矿。

目前360安全卫士已经率先支持拦截查杀：

支持QWQ小网站下的软件有很多病毒的

有幸学习

支持。