本帖最后由 飞机飞行 于 2018-5-17 21:20 编辑
一:木马概述
360安全中心近期捕获一类“伪装者”挖矿木马,该类木马使用了微软工具包中的 srvany.exe白文件做掩护,隐藏在系统服务中,令部分杀软无法扫描查杀该木马。此外,该类木马还携带了多个漏洞攻击武器,包括NSA武器库中的EternalBlue (永恒之蓝) 、Eternalchampion(永恒冠军),以及双脉冲星(DoublePulsar) 等重火力攻击利器。据此,360安全中心将该木马命名为NSASrvanyMinner。
据监测,该类木马目前十分活跃,360安全卫士每天拦截次数已达上万次。木马运行后,除了进行挖矿外,还可执行远程控制操作,对设备的危害极大。
二:木马分析
木马是用易语言所写,运行后释放两个木马文件,第一个是用于远控电脑(muma.exe),第二个是用来挖矿(rasm.exe)。
1、 muma.exe运行后从云端下载下载木马核心加密的DLL程序,解密后进行内存加载运行,这个DLL解密分析发现是大灰狼远程控制的变种。
调用木马导出函数传入上线反弹地址:
木马支持远程控制计算机功能,还支持检测杀毒软件:
2、木马rasm.exe运行后会通过白利用(微软的srvany.exe文件)做启动项自动启动XMR挖矿程序(CPUInfo.exe),并释放扫描器和漏洞利用工具来实现自动传播(a1.exe来实现)。
srvany.exe是Microsoft Windows Resource Kits工具集的一个实用的小工具,用于将任何EXE程序作为Windows服务运行,木马将它用来自动启动挖矿软件:
带的5款漏洞利用工具:
CPUInfo.exe会释放并调用csrs.exe(实际就是xmrig.exe)挖矿工具进行挖矿,启动参数如下,包含链接矿池和钱包地址:
-o stratum+tcp://minero.posthash.org:8080
-o stratum+tcp://note.posthash.org:443
-o stratum+tcp://note1.posthash.org:5555
-u 43BEKp4t8km3wEBasxmPMcV5n5XPPjRN4VcicaSwKZkTHxKzc4hTYwd3tyqR8SLZahfuSsTeJEG3fcEMnX3jA1F86iao1GU
-p x
三:安全提醒
近期挖矿木马非常活跃,让人防不胜防。建议用户及时打上系统补丁,发现电脑卡慢等异常情况时候使用安全软件扫描,同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招,尽快使用360安全卫士查杀清除木马。此外,360安全卫士已经推出了挖矿木马防护功能,全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。
来源 360安全卫士
|
|
|
|
评论
直达楼层