FavoriteLoading
0

還在用工具激活系統?小心被當做礦機!

事件描述

1、現象描述

近日,深信服EDR安全團隊捕獲到一個偽裝成激活軟件Windows Loader的病毒樣本。經分析,該樣本并沒有激活功能,其主要功能是安裝廣告軟件以及挖礦程序。

挖礦程序會拉起系統進程并在其中注入挖礦代碼,并循環監控taskmgr.exe進程,如果檢測到taskmgr.exe進程則終止挖礦,使得受害者比較難以察覺。

圖片1.png2、行為分析

2.1 病毒母體

病毒母體圖標偽裝成Windows Loader:

圖片2.png

其實是用CreateInstall制作的安裝包:

圖片3.png

安裝界面:

圖片4.png

釋放如下幾個文件到C:\Program Files (x86)\KMSPico 10.2.1 Final目錄并運行腳本WINLOADER_SETUP.BAT。

圖片5.pngWINLOADER_SETUP.BAT依次運行WindowsLoader.exe、Registry_Activation_2751393056.exe和activation.exe。

圖片6.pngWindowsLoader.exe與Registry_Activation_2751393056.exe都是廣告軟件,activation.exe則是挖礦程序。

2.2 WindowsLoader.exe

首先是WindowsLoader.exe,可以看出病毒作者顯然是個攝影愛好者,在程序的資源中也不忘插入自己喜歡的藝術照(已馬賽克處理)。

圖片7.pngWindowsLoader.exe安裝界面:

圖片8.png

會下載并安裝RunBooster:

圖片9.png安裝RunBooster服務:

圖片10.pngRunBoosterUpdateTask升級任務計劃:

圖片11.pngRunBooster的抓包行為:

圖片12.png圖片13.png2.3 Registry_Activation_2751393056.exe

Registry_Activation_2751393056.exe安裝界面:

圖片14.png功能存在問題,下載的exe文件沒有帶后綴名:

圖片15.png2.4 activation.exe

首先在Local目錄下新建cypjMERAky文件夾并將自己拷貝到下面。

圖片16.png添加注冊表自啟動項。

圖片17.png圖片18.png檢測是否存在taskmgr.exe進程。

圖片19.png如果taskmgr.exe進程不存在則拉起系統進程wuapp.exe,參數為“ -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u [email protected] -p x -t 2”。

圖片20.png將挖礦程序注入到wuapp.exe進程。

圖片21.png挖礦程序為開源的cpuminer-multi 1.2-dev。

圖片22.png進入循環,守護注冊表自啟動項,并檢測taskmgr.exe進程,如果檢測到則終止wuapp.exe。

圖片23.png

解決方案

解決方案

(1)不從不明網站下載軟件,不要點擊來源不明的郵件以及附件;

(2)及時給電腦打補丁,修復漏洞;

(3)盡量關閉不必要的文件共享權限以及關閉不必要的端口,如:445,135,139,3389等;

(4)安裝專業的終端/服務器安全防護軟件,深信服EDR能夠有效查殺該病毒。

圖片24.png

 

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。