关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 360手机官网 | 社区客户端

推荐 论坛 版块 活动 好奇者试用 商城 积分商城
一:木马概述

360安全中心近期监控到一类挖矿木马异常活跃,近三天查杀拦截量超过五十万,我们将其命名为WinstarNssmMiner。让人惊讶的是该木马在将自身恶意代码父进程注入svchost.exe后把该进程设置为CriticalProcess,即使用户发现了电脑异常卡慢也无法正常结束该恶意挖矿进程,一旦结束电脑就直接暴力蓝屏了。
二:木马分析

木马运行后检测下杀毒软件,如果存在就直接退出:
01
卡巴斯基

360社区

360社区


02
Avast:

360社区

360社区



03
微软MSE


360社区

360社区


而后以父进程注入svchost.exe开始挖矿。创建了两个进程:一个用于挖矿,另外一个则循环结束杀软,并且还会释放批处理删除原文件。

360社区

360社区


挖矿模块使用代码xmrig修改而来(https://github.com/xmrig)
矿池地址:

360社区

360社区


一共有四个矿池,不同的调用参数对应不同的矿池。
比如以下就是一个参数对应的矿池数据包信息:

360社区

360社区

360社区

360社区




然后设置挖矿进程为 CriticalProcess 一旦结束就电脑蓝屏。
ProcessBreakOnTermination = 0x1D


360社区

360社区


360社区

360社区


结束进程系统任务管理器提示:

360社区

360社区


发窗口消息结束杀软相关进程:

360社区

360社区




三:相关文件md5

184001cbd326cb3c03987c350c3ada6a
cf3e0eaf26c74db2bb5f8ba7e2607e2f
0be8a2b5f8a2fc9ad74d8ab9fcf5f583
四:安全提醒

电量不足5%
请立即充电


近期挖矿木马非常活跃,让人防不胜防。建议用户发现电脑卡慢等异常情况时候使用安全软件扫描,同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招,尽快使用360安全卫士查杀清除木马。此外,360安全卫士已经推出了反挖矿功能,全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。

来源 360安全卫士

共 1 个关于史上最暴力的挖矿木马来袭的回复 最后回复于 2018-5-18 01:13

评论

直达楼层

360fans_ednWZN LV1.上等兵 发表于 2018-5-18 01:13 | 显示全部楼层 | 私信
我这里有这个病毒但是装了360也防止不了QQ44673943
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:138 关注:2 积分:87512

精华:13 金币:138124 经验:77730

最后登录时间:2018-05-25

私信 加好友

飞机飞行

粉丝:138 关注:2

私信

最新活动

【新青年·安全观】360名校行第1站:走近清

内容推荐 热门推荐最新主帖

    360社区客户端下载

    快速回复 返回顶部 返回列表