快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

挖矿病毒通过Flash漏洞传播,小心电脑变矿机

4月24日,火绒安全团队发出警报,病毒团伙行使Adobe Flash漏洞传播挖矿病毒。病毒团伙将挖矿程序植入到游戏下载站“52pk”中(www.52pk.com),当用户走访该网站,带毒页面铺示后,无需任何操作,挖矿程序便会立即运行,行使用户电脑“挖矿”(门罗币)。特其它是,该病毒使用的“免杀”手艺相比以往的简单篡改文件哈有数较大改进,已经有了国外混淆器免杀手艺的雏形,在一定程度上抬举了安全软件对其查杀的门槛。

通过我们对该样本的阐发,我们发现虽然样原先源为国内,然则其所使用的混淆手艺已经具备一些简单的混淆器特征,如:使用无效参数调用体系API、行使体系API影响原始镜像加载流程等。用于解密原始镜像数据的代码数据被存放在资源“YBNHVXA”中,病毒没有使用资源相干的API读取数据而是直接通过硬地址进行数据读取。

资源数据,以下图所示:

 image006.png

病毒资源

相干代码以下图所示:

 image007.png

获取解密代码

在首要病毒逻辑代码中被插入了大批的无效函数调用,参数整个都为0。要是捏造机引擎未对这些API进行摹拟,则会没法解密出原始镜像数据。虽然该病毒所使用的混淆伎俩极为简单,但也已经具备了混淆器匹敌捏造机引擎的一些手艺特点,可能将来国内病毒与安全软件的匹敌方式也会以混淆器为主。相干代码以下图所示:

 image008.png

混淆代码

该病毒在火绒捏造举动沙盒中的运行举动,以下图所示:

 image009.png

捏造举动沙盒中的病毒举动

在混淆代码运行实现后,无线黑客,终极执行的恶意代码会挖取门罗币,矿工相干信息以下图所示:

 image010.png

矿工信息

通过对门罗币钱包地址的查询,我们可以看到当前为该钱包地址进行挖矿的矿工情形,截止到此时矿工总数为483。以下图所述:

 image011.png

门罗币钱包情形

附录

文中触及样本SHA256:

 image012.png

据悉,“火绒安全软件”无需升级即可防御该病毒。

您可能还会对下面的文章感兴趣: