史上最暴力的挖矿木马来袭

一：木马概述

360安全中心近期监控到一类挖矿木马异常活跃，近三天查杀拦截量超过五十万,我们将其命名为WinstarNssmMiner。让人惊讶的是该木马在将自身恶意代码父进程注入svchost.exe后把该进程设置为CriticalProcess，即使用户发现了电脑异常卡慢也无法正常结束该恶意挖矿进程，一旦结束电脑就直接暴力蓝屏了。
二：木马分析

木马运行后检测下杀毒软件,如果存在就直接退出:
01
卡巴斯基

02
Avast:

03
微软MSE

而后以父进程注入svchost.exe开始挖矿。创建了两个进程：一个用于挖矿，另外一个则循环结束杀软，并且还会释放批处理删除原文件。

挖矿模块使用代码xmrig修改而来(https://github.com/xmrig)
矿池地址:

一共有四个矿池，不同的调用参数对应不同的矿池。
比如以下就是一个参数对应的矿池数据包信息:

然后设置挖矿进程为 CriticalProcess 一旦结束就电脑蓝屏。
ProcessBreakOnTermination = 0x1D

结束进程系统任务管理器提示:

发窗口消息结束杀软相关进程:

三：相关文件md5

184001cbd326cb3c03987c350c3ada6a
cf3e0eaf26c74db2bb5f8ba7e2607e2f
0be8a2b5f8a2fc9ad74d8ab9fcf5f583
四：安全提醒

电量不足5%
请立即充电


近期挖矿木马非常活跃，让人防不胜防。建议用户发现电脑卡慢等异常情况时候使用安全软件扫描，同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招，尽快使用360安全卫士查杀清除木马。此外，360安全卫士已经推出了反挖矿功能，全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后，360安全卫士将会实时拦截各类挖矿木马的攻击，为用户计算机安全保驾护航。

来源 360安全卫士

我这里有这个病毒但是装了360也防止不了QQ44673943