歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

挖礦木馬“DTLMiner” 中毒后仿佛聞到了燒顯卡的味道

來源:本站整理 作者:佚名 時間:2019-04-19 TAG: 我要投稿

近日,瑞星安全專家率先監測到挖礦木馬病毒“DTLMiner”最新變種,新版本病毒更換了IP和域名,并且增加了一個挖礦模塊,新版挖礦模塊會下載顯卡驅動,利用顯卡進行挖礦,大幅提升挖礦速度的同時會導致系統卡頓,顯卡發熱。目前,瑞星云安全系統顯示,已有數千用戶感染該挖礦病毒。
下載后文件名
MD5
功能
%appdata%\Microsoft\cred.ps1
E05827E44D487D1782A32386123193EF
Powershell攻擊模塊
%temp%\mn.exe
66EA09330BEE7239FCB11A911F8E8EA3
挖礦模塊
%temp%\4-8個字符的隨機名稱
CDF6384E4CD8C20E7B22C2E8E221F8C8
python編寫的攻擊模塊
%temp%\ddd.exe
8A2042827A7FCD901510E9A21C9565A8
新增挖礦模塊
表:病毒下載的各模塊
新版挖礦木馬病毒“DTLMiner”不僅會導致中毒機器CPU占用率過高,機器卡頓,同時還會導致顯卡占用率過高,顯卡發熱等現象,嚴重影響用戶正常工作。目前瑞星ESM已能成功查殺該病毒的最新版本。

圖:瑞星ESM查殺截圖
“DTLMiner”挖礦木馬的黑歷史:
2018年12月,“驅動人生”的升級模塊被不法分子利用傳播挖礦木馬病毒“DTLMiner”,短期內感染數萬臺計算機。
2019年2月、3月又分別進行了更新,增加了數字簽名與弱口令攻擊,攻擊面進一步增大,同時又躲避查殺。
此次瑞星截獲的“DTLMiner”已經是第5次變種。
針對該木馬病毒對企業網絡安全帶來的潛在威脅,瑞星安全專家建議:
1.安裝永恒之藍漏洞補丁,防止病毒通過漏洞植入;
2.系統和數據庫不要使用弱口令賬號密碼;
3.多臺機器不要使用相同密碼,病毒會抓取本機密碼,攻擊局域網中的其它機器;
4.安裝殺毒軟件,保持防護開啟。
技術分析
新版挖礦木馬病毒“DTLMiner”通過漏洞和弱口令攻擊植入,創建快捷方式開機自啟動。

圖:病毒創建的快捷方式
快捷方式運行之后,執行flashplayer.tmp。此文件是一個腳本,使用JS 調用PowerShell腳本下載。

圖:flashplayer.tmp 內容
下載的文件就是下載模塊,此模塊會下載攻擊模塊和挖礦模塊。下載模塊使用多層混淆。

圖:多層混淆的下載模塊
最終解密出下載腳本,腳本運行后首先獲取本機網卡mac地址,獲取本機安裝的殺毒軟件信息。

圖:獲取本機網卡和殺軟信息
之后隨機延時一段時間。

圖:延時一段時間
判斷配置文件是否存在,如果不存在則下載對應樣本。

圖:根據配置文件下載對應樣本
1)如果配置文件k1.log不存在,則創建計劃任務持久駐留。
根據用戶權限不同,創建的計劃任務不同,如果當前用戶是管理員權限則訪問:http://v.y6h.net/g?h + 當前日期,如果當前用戶非管理員權限則訪問:http://v.y6h.net/g?l + 當前日期。

圖:下載更新腳本
計劃任務的功能是訪問此網址,使用PowerShell執行獲取到的內容。目前此網址處于無法訪問狀態,攻擊者隨時可以開啟,下發任意腳本。
2)如果配置文件kkkk2.log不存在,則下載new.dat保存為cred.ps1,內容是混淆的PowerShell腳本。

圖:下載cred.ps1
判斷文件大小是否正確,如果正確則創建計劃任務定時執行cred.ps1。

圖:執行cred.ps1
cred.ps1 腳本被多層混淆。

圖:多層混淆的cred.ps1腳本
解密后可以看到,此版本是V5。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 海南板块股票推荐 搜狐三分彩是正规的吗 河南11选5分布走势图 北京快8开奖走势图 在线炒股咨询推荐卓信宝配资 青海十一选五五百期 排列三带坐标走连线图 云南省十一选五结果 3d杀码图谜 股票分析软件app