快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

新病毒威胁单位局域网用户,伪装正常软件很难清除

1、概述

近日,火绒安全团队截获新蠕虫病毒”SyncMiner” ,该病毒在当局、企业、黉舍、病院等单位的局域网中具有很强的传播能力。该病毒通过收集驱动器以及同享资源目录(同享文件夹)迅速传播,入侵电脑后,会行使被感染电脑挖取”门罗币”,造成CPU占用率高达100%,并且该病毒还会通过遥程服务器下载其他病毒模块,不排除盗号木马、勒索病毒等。

根据火绒安全团队阐发发现,蠕虫病毒”SyncMiner”会将本人复制到收集驱动器以及同享资源目录,并伪装成视频文件夹,诱使用户点击病毒文件,从而激活病毒,并通过添加计划义务以及开机启动项的方式驻留在体系中。其中,病毒将计划义务伪装为Java运行库的更新进程,在继续传播的同时进行挖矿;将开机启动项伪装为Adobe更新进程,检测并恢复病毒文件,使病毒屡杀不尽。

image003.png

目前,火绒”企业版”以及”小我私人版”最新版均可彻底查杀蠕虫病毒”SyncMiner”。同时,当局、企业、病院、黉舍等受此类病毒威胁较大的局域网用户,我们建议申请装置”火绒企业版”,可有用防御局域网内病毒屡杀不尽的困难。

二、SyncMiner蠕虫具体阐发

该病毒在运行后会将自身拷贝到%Appdata%\Java Sun以及%AppData%\Roaming\Adobe路径下,行使计划义务以及注册表项完成病毒自启动。该病毒会通过映照的收集驱动器以及收集中的同享资源进行传播,并在被感染的机器上挖取门罗币。除此之外,病毒会向C&C服务器下载并执行其他的病毒模块。病毒的团体逻辑,以下图所示:

image004.png

病毒团体逻辑

该蠕虫病毒会将自身复制到映照的收集驱动器以及同享资源目录中,并将病毒命名为video.scr,配合其具有引诱性的图标,诈骗用户点击病毒文件,从而激活携带的恶意代码。感染后的同享文件夹,以下图所示:

image005.png

被病毒感染的同享文件夹

当病毒运行时,会判定传递给病毒进程的参数,当参数为”sync”时,会把病毒文件拷贝到%Appdata%\Java Sun路径下,并将其注册成名为”SunJavaUpdateSched”的计划义务。代码逻辑,以下图所示:

image006.png

将病毒注册为计划义务

注册的计划义务在每天8:00触发后,每一隔15分钟重复一次,触发器在2040年1月1日过期,操作为”%Appdata%\Roaming\Java Sun\jucheck.exe begin”。计划义务属性,以下图所示:

image007.png

注册的计划义务属性

计划义务对应的病毒进程在运行时,会行使当前计算机挖矿,挖矿时计算机CPU会高达100%,黑客网,容易被安全软件发现并清除。为了使得病毒更长久的驻留在体系中,病毒还将自身拷贝到%AppData%\Roaming\Adobe目录下,将其命名为UpdaterStartupUtility.exe,伪装成Adobe升级程序,并通过注册表配置为开机启动项 “AdobeAAMUpdater”。如许做的目的是,要是计划义务对应的病毒被清除,当体系再次重启以后,病毒可以恢复计划义务与对应的病毒文件,从而继续执行恶意代码。病毒逻辑,以下图所示:

image008.png

注册为开机启动项

1. 传播方式

该蠕虫病毒具有很强的内网传播能力,其传播方式有两种。第一种是通过映照的收集驱动器进行传播,该病毒会枚举注册表(HKEY_CURRENT_USER\Network)下关于当前体系映照的收集驱动器,并将蠕虫病毒拷贝到存在的收集驱动器根目录下。相干代码逻辑,以下图所示:

image009.png

病毒行使收集驱动器传播

第二种是行使同享资源进程传播,病毒会获取当前体系的ip地址,从而获得当前收集所属的网段,然后病毒会扫描当前网段中开放的139端口以及445端口,若存在开放这些端口的计算机,则会检索有关计算机上每一个同享资源的信息,并且检测与同享资源有关的安全描摹符是否可用,若可用,则会获取当前同享资源的名称,并将病毒拷贝到此同享下。相干代码逻辑,以下图所示:

image010.png

病毒行使同享资源进行传播

2. 挖取门罗币

该蠕虫病毒在传播到受害者机器上以后会行使受害者机器的计算能力来挖取门罗币,病毒使用的门罗币钱包地址首笔交易记录是在2018年1月9日。挖矿的钱包地址以及矿池,以下图所示:

image011.png

钱包以及矿池

病毒使用的门罗币钱包信息,以下图所示:

image012.png

门罗币钱包信息

病毒会将存储在PE镜像中的多份设置文件相干的数据恢复成完备的设置文件,然后获取其中的设置信息最先挖矿。相干代码逻辑,以下图所示:

image013.png

恢复设置文件并最先挖矿

矿工上岸矿池时的收集数据,以下图所示:

image014.png

上岸矿池时的收集数据

3. 下载执行其他病毒模块

该病毒除了以上的病毒功能之外,还会从C&C服务器(hxxp://data28.somee.com/data.zip)下载执行其他的病毒模块(不排除盗号病毒,勒索病毒等)。病毒从C&C服务器下载病毒逻辑,以下图所示:

image015.png

从C&C服务器下载病毒

执行下载的病毒模块,代码逻辑,以下图所示:

image016.png

运行下载的病毒模块

3、 附录

文中触及样本SHA256:

image017.png *

您可能还会对下面的文章感兴趣: