一:木马概述

360安全中心近期监控到一类挖矿木马异常活跃,近三天查杀拦截量超过五十万,我们将其命名为WinstarNssmMiner。让人惊讶的是该木马在将自身恶意代码父进程注入svchost.exe后把该进程设置为CriticalProcess,即使用户发现了电脑异常卡慢也无法正常结束该恶意挖矿进程,一旦结束电脑就直接暴力蓝屏了。

二:木马分析

木马运行后检测下杀毒软件,如果存在就直接退出:

卡巴斯基

开始挖矿蓝屏(这个挖矿木马有些暴力)(1)

Avast:

开始挖矿蓝屏(这个挖矿木马有些暴力)(2)

微软MSE:

而后以父进程注入svchost.exe开始挖矿。

创建了两个进程 一个用于挖矿 , 另外一个则循环结束杀软。

并且还会释放批处理删除原文件。

开始挖矿蓝屏(这个挖矿木马有些暴力)(3)

挖矿模块使用代码xmrig修改而来(https://github.com/xmrig)

矿池地址:

开始挖矿蓝屏(这个挖矿木马有些暴力)(4)

一共有四个矿池,根据调用参数不同对应不同矿池。

比如以下就是一个参数对应的矿池数据包信息:

开始挖矿蓝屏(这个挖矿木马有些暴力)(5)

开始挖矿蓝屏(这个挖矿木马有些暴力)(6)

然后设置挖矿进程为 CriticalProcess 一旦结束就电脑蓝屏

ProcessBreakOnTermination = 0x1D

开始挖矿蓝屏(这个挖矿木马有些暴力)(7)

开始挖矿蓝屏(这个挖矿木马有些暴力)(8)

结束进程系统任务管理器提示:

开始挖矿蓝屏(这个挖矿木马有些暴力)(9)

发窗口消息结束杀软相关进程:

开始挖矿蓝屏(这个挖矿木马有些暴力)(10)

三:相关文件md5

184001cbd326cb3c03987c350c3ada6a

cf3e0eaf26c74db2bb5f8ba7e2607e2f

0be8a2b5f8a2fc9ad74d8ab9fcf5f583

四:安全提醒

近期挖矿木马非常活跃,让人防不胜防。建议用户发现电脑卡慢等异常情况时候使用安全软件扫描,同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招,尽快使用360安全卫士查杀清除木马

此外,360安全卫士已经推出了反挖矿功能,

全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。

,