MSN中国首页|Outlook邮箱|OfficePLUS微软官方模板
MSN中文网 > 首页 > 科技 >正文
正文
分享至新浪微 转播到腾讯微博转播到腾讯微博

瑞星预警:“永恒之蓝”挖矿病毒最新变种来袭 国内各省均有用户感染

2019-06-05 12:00:18  责任编辑:  出处:[db:出处]

  近日,瑞星捕获到利用“永恒之蓝”漏洞传播的挖矿病毒MsraMiner出现最新变种,经瑞星安全专家查验,国内各省已均有用户感染。由于该病毒采用蠕虫的方式进行传播,一旦有用户感染,就会导致网内其他用户遭受牵连,造成机器卡顿和蓝屏等现象,所以未来该病毒存在大范围传播的风险。

  利用“永恒之蓝”漏洞传播的挖矿病毒MsraMiner第一次出现是在2017年5月,该病毒使用NSA泄露的“永恒之蓝”攻击工具传播挖矿病毒。病毒作者直到现在还在持续更新对抗查杀,通过内网传播和外网下载的攻击方式,组建了大量的僵尸网络,极大的增加了查杀难度。

  挖矿病毒MsraMiner最新变种仍采用与之前相同的攻击方式,不过进行了一定升级,将挖矿相关字符串进行大量替换,伪装成系统服务名称对抗查杀。同时,病毒作者为了让挖矿病毒持久驻留,当检测到系统任务管理器启动时,挖矿进程会自动退出。任务管理器关闭后,挖矿进程又会重新启动,病毒变得更加隐蔽。服务模块也由固定名称改成随机拼凑的字符串名称,用来躲避杀软查杀。

  瑞星安全专家提醒广大用户,虽然病毒的传播能力在不断提升,但是及时更新系统补丁,可以在很大程度上免受黑客的攻击。除此之外,采取以下防御措施,可防止更多类似病毒的侵害:

  1、建议优先安装“永恒之蓝”漏洞补丁。

  2、若补丁安装失败,可开启防火墙关闭445端口。

  3、安装杀毒软件保持防御开启,及时升级病毒库。

  技术分析

  挖矿病毒MsraMine最新变种的病毒母体运行后释放服务模块,释放的服务模块名称随机拼凑。例如:ApplicationTimeHost.dll

  图:释放服务模块

  从以下字符串中选取拼凑。

  图:拼凑服务模块名称用到的字符串

  不同机器服务名称不同,都是通过以上字符串拼凑组合而成。服务名称和释放的服务dll文件名称相同。

  图:创建的服务

  图:服务名称和释放的服务模块dll名称相同

  释放“永恒之蓝”攻击工具包到C:WindowsNetworkDistribution目录,攻击网络中的其它机器。

  图:释放“永恒之蓝”攻击工具包

  图:调用攻击模块攻击网络中的其它机器

  释放挖矿模块dllhostex.exe,挖矿消耗系统资源。挖矿模块使用开源挖矿程序修改而来,此版本将挖矿相关字符串进行了大量的替换,进一步对抗查杀。

  图:挖矿模块

  病毒作者为了让挖矿病毒持久驻留,当检测到系统任务管理器启动时,挖矿进程会自动退出。任务管理器关闭后,挖矿进程又会重新启动,病毒变得更加隐蔽。

  用微软增强的进程查看工具 Process Explorer 可以看到挖矿进程

  图:挖矿进程

  IOC

  C&C

  iron.tenchier.com

  z.totonm.com

  185.128.24.101

  MD5

  80402E15A81E4F513980857455EB5A9C

  6DC722C9844E61427A47A2759A8FBEC0

  95786B6C28BF8DBA7BBFEEBA9E1EC27A

  386FEADCAD055F4EA712DD39D80BB700

  297C855681A872F80AADA938F60EF33A

  56DA116D25207847797FE5F8B085C1B1

  F5A7B1F998390241F5C10CBDDFE88647

频道推荐
体育/教育
汽车视界 金融财经
数码酷玩
三星Neo QLED 8K电视,和这   在2021年国际消费类电子产品展览会(CES)上,三星在“First Look”…
三星电视:做时代的引领者   家电圈近期最值得期待的看点非三星电视莫属,除了一系列科技大片即视感的VLO…
影创科技集团董事长孙立荣 2019年度商界青年领军者获奖人——爱库存联合创始人冷静女士为孙立颁奖....…
共绘XR文旅蓝图,影创科技 此次战略合作签约仪式意味着双方建立起长期战略合作伙伴关系,影创科技与江西旅游…
南昌市工商联党组书记熊冬 调研组一行在体验 5G+MR 全息智慧教室后对其丰富、直观、立体的教学形式表示赞许…
游戏世界
版权声明 | 网站简介 | 网站律师 | 网站导航 | 广告刊例 | 联系方式 | Site Map
MSN中国(MSN.SH.CN)版权所有,未经授权禁止复制或建立镜像