(捆绑了定时关机软件的挖矿木马)

近日,360安全中心的技术大牛们监测到一类挖矿木马又活跃了起来,近一周360安全卫士对此类木马拦截超过20万次,并且国内的互联网用户也在这类挖矿木马的攻击范围之内,所以360安全中心有必要向大家预警,并且作出战况说明。

(捆绑了定时关机软件的挖矿木马)(1)

这类挖矿木马的恶意程序先是捆绑了一款定时关机软件“Shutdown Timer”隐藏其中,而这款软件又经常捆绑在各种外挂和破解软件中一起被用户下载,这使得国内的用户极易在不知情的情况下中招。国外的安全研究员根据此类挖矿木马的作案手法,给它起了一个非常直白的名字“ShutdownTimerBundlerMiner(捆绑了关机计时器的挖矿木马)”。

虽然这句话已经重复过很多次了,但还是要再跟各位用户强调一下,外挂和破解软件要谨慎下载!言归正传,以下将是对本次挖矿木马的专业分析(如果你和小编一样看不太懂大神们的语言,那可以直接跳到结尾处查看解决方案)。这次的Shutdown Timer软件在其他软件中做捆绑实施推广安装,下载到用户电脑上后的文件是这个样子的:

(捆绑了定时关机软件的挖矿木马)(2)

这个软件安装在用户电脑上之后会在系统服务中安装另一个可执行程序(%userprofile%\appdata\roaming\software updater\softwareupdater.exe),这个程序是用C#语言编写的,会开机启动。入口函数主要是用来判断传入参数,然后会开启定时器:

(捆绑了定时关机软件的挖矿木马)(3)

定时器代码:

(捆绑了定时关机软件的挖矿木马)(4)

定时器触发执行代码:

(捆绑了定时关机软件的挖矿木马)(5)

通过解析服务器返回值来决定执行各种命令:

(捆绑了定时关机软件的挖矿木马)(6)

客户端支持命令为:

(捆绑了定时关机软件的挖矿木马)(7)

其中FileCommand为下载更新挖矿模块,下载代码是这样的:

(捆绑了定时关机软件的挖矿木马)(8)

地址为: http://greeenanalytics.com/apps/hasher/appmgr.exe

(捆绑了定时关机软件的挖矿木马)(9)

挖矿模块为:

http://greeenanalytics.com/apps/hasher/appmgr.dll

之后将该模块注册为服务,开机后自动进行挖矿。

矿池地址写入配置文件:

(捆绑了定时关机软件的挖矿木马)(10)

以上,是对这次挖矿木马的病毒样品分析,小编给技术大牛跪了。虽然没有360安全团队研究员的过人才智,但我还是要很自豪地说,目前只有两款安全软件可以对此类挖矿木马进行查杀,而360安全卫士就是其中之一!

(捆绑了定时关机软件的挖矿木马)(11)

做安全,我们是认真的,所以我也要很认真地分享一些防御挖矿木马的秘诀给你:

首先,谨慎下载外挂和破解软件。

其次,不要让你的电脑“裸奔”,给他穿个衣服,装个安全软件,360安全卫士就很不错哦。

已经安装了安全软件的各位,安了不开也是没用的,还要保持安全软件的时常开启。

最后,真心推荐给你360安全卫士的挖矿木马防护功能,让你从此告别挖矿木马带来的电脑卡慢等问题!点击解决所有问题>>> http://urlqh.cn/m5rYE

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页