藏身“隐秘的角落”大肆敛财？！XMRig变种挖矿木马猖獗作恶

近年来，依仗门罗币更好的隐藏机制和挖矿算法等优势，层出不穷的挖矿木马可以更轻松的进行“潜伏”作恶，构建出堪称币圈的“隐秘的角落”，让无数币友恨不能亲自与背后黑手“一起去爬山”。

近日，360安全大脑就监测到一款XMRig门罗币变体矿工，以伪装系统WMI服务的形式，自2018年起至今，已让全球多国接连“中招沦陷”。

该挖矿木马不仅安装程序的感染路径十分隐蔽，持久化手段也同样复杂多端，让普通用户根本防不胜防。

而在木马bat脚本下载到宿主电脑的恶意文件中，就连配合挖矿程序读写MSR寄存器的WinRing0x64.sys，和转化powershell脚本为windows平台可执行文件的开源文件ps2exe等也都一一在列。这意味着一旦电脑不幸中招，想要“脱身”简直难上加难。

目前，在360安全大脑的极智赋能下，360安全卫士可有效拦截查杀该挖矿木马，建议广大用户尽快下载最新版360安全卫士，全面保障个人隐私及财产安全。

360社区

藏身“隐秘的角落”

挖矿不离“三板斧”

据360安全大脑监测显示，该挖矿木马通过捆绑下载器进行传播，其首先调用cmd进程运行font.bat脚本，从服务器上下载一个改编自开源的门罗币矿工bat安装脚本的，随机名临时文件tmpxxxx.tmp.bat，然后调用powershell运行该脚本安装矿机，最终实现常驻于宿主电脑。

360社区

经深度分析后，360安全大脑重现了该挖矿木马猖獗作恶的“三板斧”：

一板斧：安装脚本避影匿形，一经开启“反客为主”

该脚本改编自开源的门罗币矿工安装脚本，主要功能为下载木马作者在github上存放的挖矿程序，并进行安装。

360社区

360社区

下载到挖矿文件压缩包以及解压工具后，脚本自解压文件到如下的目录：
"%SYSTEMROOT%\SysWOW64\WMIScriptingAPI

同时，该脚本会设置木马文件属性为系统文件属性和隐藏文件属性，来尽可能隐藏自己，并添加名为compiler的注册表服务项，将windows服务注册工具nssm注册为服务，再以参数的形式，由nssm调用起挖矿程序WMIProviderHost，从而达到挖矿木马长驻宿主电脑的目的。

360社区

二板斧：挖矿程序暗度陈仓，完美掩护“敛财”行径

木马挖矿主体是存储于如下目录中的WMIProviderHost.exe：
%SYSTEMROOT%\SysWOW64\WMIScriptingAPI

该程序将文件信息描述为系统文件（WMIProviderHost）企图迷惑宿主，实际上却是一个霸占用户电脑资源的XMRig门罗币挖矿木马，该木马会读取同目录下的矿池配置文件srnany.exe进行挖矿。

360社区

通过查询配置文件中的钱包地址，可以看到在当前被感染的电脑总算力下，该钱包的日收益为0.2258XMR/14.71美元。

360社区

三板斧：待利用文件“多重保险”，熟操多样作恶手段

在木马作者放置在github上的挖矿文件解压缩文件中,还可以看到NSIS矿工安装程序工具nssy.exe，windows服务注册工具nssm.exe，并且可以看到一些该作者后续准备利用的工具，例如系统文件WinRing0x64.sys及其配置文件（对应的木马解压缩文件名为Sroany.exe及Srmany.exe），该文件可被白利用于内核层访问cpu msr寄存器、直接访问内存、访问io pci设备等，以及转化powershell脚本为windows平台可执行文件的开源文件ps2exe（对应的木马解压缩文件为Process1.exe）。

全球多国皆位“中招之列”

360安全大脑防控成果斐然

值得注意的是，360安全大脑分析统计后发现，该挖矿木马感染范围十分广泛。自2018年起至今，全球几十个国家皆位于“中招之列”。

360社区

同时，近半年来，该挖矿木马呈现出稳中有升的增长趋势。因此，对于广大用户来说，安全防范切不可轻易忽视。

360社区

不过广大用户无需过分担心，在360安全大脑的极智赋能下，360安全卫士目前已可有效拦截查杀该类挖矿木马。为全面保障广大用户的个人隐私及财产安全，净化网络环境，360安全大脑给出以下几点安全建议：

1、前往weishi.360.cn，下载安装360安全卫士，对此类挖矿木马威胁进行有效拦截查杀；
2、提高安全意识，建议从正规渠道下载软件，如官方网站或360软件管家等。

MD5：
2f0e72afcdb13039ab30f7d03b784950
d9be3b4f93d9b29a93cea8eef91def15
465796a07d7adbda88e37368eba5fd29
cd40a754cf31b4e030a3d35ca42b1154
325b143e44696b41f98c650600791279
c369acef348414438c21cb81bb905db8

URLS：
hxxp://www.hiperbolicus.com/fonts/old_text_mt_regular.ttf
hxxps://raw.githubusercontent.com/hiperbolicus/sigma/master/compiler.zip

来源  360安全卫士

注意{:14_353:}{:14_353:}

下载之后360被自动删除，杀毒，卫士什么都不管用

感谢，我刚才也中毒了