“伪装者”NSASrvanyMinner: 利用微软白文件躲避查杀的挖矿木马

一：木马概述

      360安全中心近期捕获一类“伪装者”挖矿木马，该类木马使用了微软工具包中的 srvany.exe白文件做掩护，隐藏在系统服务中，令部分杀软无法扫描查杀该木马。此外，该类木马还携带了多个漏洞攻击武器，包括NSA武器库中的EternalBlue (永恒之蓝) 、Eternalchampion(永恒冠军)，以及双脉冲星(DoublePulsar) 等重火力攻击利器。据此，360安全中心将该木马命名为NSASrvanyMinner。

据监测，该类木马目前十分活跃，360安全卫士每天拦截次数已达上万次。木马运行后，除了进行挖矿外，还可执行远程控制操作，对设备的危害极大。

二：木马分析
      木马是用易语言所写，运行后释放两个木马文件，第一个是用于远控电脑（muma.exe），第二个是用来挖矿（rasm.exe）。
1、 muma.exe运行后从云端下载下载木马核心加密的DLL程序，解密后进行内存加载运行，这个DLL解密分析发现是大灰狼远程控制的变种。

调用木马导出函数传入上线反弹地址：

木马支持远程控制计算机功能，还支持检测杀毒软件：

2、木马rasm.exe运行后会通过白利用（微软的srvany.exe文件）做启动项自动启动XMR挖矿程序（CPUInfo.exe），并释放扫描器和漏洞利用工具来实现自动传播（a1.exe来实现）。
srvany.exe是Microsoft Windows Resource Kits工具集的一个实用的小工具，用于将任何EXE程序作为Windows服务运行，木马将它用来自动启动挖矿软件：

带的5款漏洞利用工具:

CPUInfo.exe会释放并调用csrs.exe（实际就是xmrig.exe）挖矿工具进行挖矿，启动参数如下，包含链接矿池和钱包地址：
-o stratum+tcp://minero.posthash.org:8080
-o stratum+tcp://note.posthash.org:443
-o stratum+tcp://note1.posthash.org:5555
-u 43BEKp4t8km3wEBasxmPMcV5n5XPPjRN4VcicaSwKZkTHxKzc4hTYwd3tyqR8SLZahfuSsTeJEG3fcEMnX3jA1F86iao1GU
-p x

三：安全提醒

      近期挖矿木马非常活跃，让人防不胜防。建议用户及时打上系统补丁,发现电脑卡慢等异常情况时候使用安全软件扫描，同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招，尽快使用360安全卫士查杀清除木马。此外，360安全卫士已经推出了挖矿木马防护功能，全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后，360安全卫士将会实时拦截各类挖矿木马的攻击，为用户计算机安全保驾护航。

来源 360安全卫士