又是弱口令爆破！KingMiner挖矿木马新变种上线，瞄准门罗币双重挖矿！

近期，360安全大脑监测到KingMiner挖矿木马的最新变种较为活跃，病毒作者利用SqlServer弱口令爆破获取系统权限，进而植入挖矿木马。该木马采用白利用的方式挖取门罗币。病毒作者为保证挖矿流程成功执行，在XP以上系统中，还会执行备用流程，利用powershell内存加载的方式挖取门罗币，整体的病毒流程，如下图所示：

KingMiner挖矿木马的感染分布图

不过广大用户无需担心，360安全卫士已支持针对该类木马的拦截查杀，建议广大用户及时下载安装360安全卫士保护电脑隐私及财产安全。

弱口令爆破获取系统权限

清理旧部伺机开展新一轮挖矿

在利用SQLserver弱口令取得系统权限后，KingMiner挖矿木马会执行%UserProfile%\Music\1.vbs清理老旧版本，然后下载最新的病毒变种进行部署，在XP以上系统中，除了安装白利用的病毒模块外，还会执行powershell反射加载挖矿动态库的备用流程。整体代码逻辑如下：

1.vbs下载*a1.zip，但是此文件并非压缩文件，而是一个xml格式的文件，其DOM对象中存储着以base64编码后的病毒压缩包，这种方式能在一定程度上躲避安全软件的检测。

1.vbs下载该xml文件并解析出其中的压缩文件，将其存储到%UserProfile%\Music目录下并在解压后执行alger.exe，相关代码如下：

解压后的目录结构如下图所示，其中alger.exe是病毒利用的白文件，携带Google的有效数字签名：

alger.exe运行后会加载病毒动态库goopdate.dll，该动态库会读取x.txt中的内容进行解密，解密出libxmrig.dll，解密逻辑如下图所示：

解密出的libxmrig.dll携带如下字符串，是病毒作者自己编译的xmrig开源挖矿程序：

libxmrig.dll会读取config.json中的配置信息开始挖矿，相关配置信息，如下图所示：

XP以上系统差别待遇

部署备用挖矿流程双管齐下

当系统是windows xp以上时，还会执行备用流程，利用powershell反射加载的方式确保挖矿流程成功执行：

当检测到alger.exe进程不在运行时，就下载n.txt进行执行，n.txt下载241*.txt进行解密，解密后是libxmrig.dll挖矿程序，然后加载libxmrig.dll开始挖矿。相关逻辑如下：

“零成本、高收入”利益驱动下

黑产成为挖矿木马运作新模式

由于利用挖矿木马挖矿是一种几乎零成本的获利方式，即使加密货币价格走势变动不定，一些大型挖矿家族仍能将挖矿生意做到风生水起。在这种“零成本、高收入“的盈利模式下，挖矿木马幕后的操纵者也由”野路子”黑客转向商业化程度极高的黑产组织，部分黑产家族彼此之间还进行着”商业合作”。

如2019年6月，360安全大脑监测到大型挖矿僵尸网络“WannaMine”进行的一次更新中，除了启用新的域名外，它在通过“永恒之蓝”漏洞攻击武器传播的基础上增加了SSH爆破、MsSQL爆破、SMB爆破，将魔爪伸向数据库与Linux服务器，在受害机器中植入挖矿木马与DDoS木马。这就是说，WannaMine可能与其他黑产家族进行合作，摇身一变成为“军火商”为其他黑产家族定制化恶意程序。可以预测，未来挖矿黑产疆域必将进一步扩大，各大家族间的合作也将更加普遍，为谋求更高额利润，企业自然也会成为挖矿家族眼中的“盘中餐”。

当下挖矿木马发展形势严峻，为避免损失进一步扩大，360安全大脑建议广大用户做好以下防御措施，抵御挖矿攻击：

1、360安全卫士可拦截该类木马的攻击，广大用户可前往weishi.360.cn，下载安装360安全卫士保护电脑安全；

2、KingMiner主要通过爆破SqlServer服务器的弱口令进行传播，用户可以通过修改弱口令来有效的防御此类木马的入侵；

3、发现电脑异常时，及时使用360安全卫士进行体检扫描，查杀病毒木马；

4、及时为系统和应用软件打补丁，关闭不必要的端口和服务。

来源  360安全卫士

我有360 不怕