一:木马概述
360安全中心近期监控到一类挖矿木马异常活跃,近三天查杀拦截量超过五十万,我们将其命名为WinstarNssmMiner。让人惊讶的是该木马在将自身恶意代码父进程注入svchost.exe后把该进程设置为CriticalProcess,即使用户发现了电脑异常卡慢也无法正常结束该恶意挖矿进程,一旦结束电脑就直接暴力蓝屏了。
二:木马分析
木马运行后检测下杀毒软件,如果存在就直接退出:
卡巴斯基
Avast:
微软MSE:
而后以父进程注入svchost.exe开始挖矿。
创建了两个进程 一个用于挖矿 , 另外一个则循环结束杀软。
并且还会释放批处理删除原文件。
挖矿模块使用代码xmrig修改而来(https://github.com/xmrig)
矿池地址:
一共有四个矿池,根据调用参数不同对应不同矿池。
比如以下就是一个参数对应的矿池数据包信息:
然后设置挖矿进程为 CriticalProcess 一旦结束就电脑蓝屏
ProcessBreakOnTermination = 0x1D
结束进程系统任务管理器提示:
发窗口消息结束杀软相关进程:
三:相关文件md5
184001cbd326cb3c03987c350c3ada6a
cf3e0eaf26c74db2bb5f8ba7e2607e2f
0be8a2b5f8a2fc9ad74d8ab9fcf5f583
四:安全提醒
近期挖矿木马非常活跃,让人防不胜防。建议用户发现电脑卡慢等异常情况时候使用安全软件扫描,同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招,尽快使用360安全卫士查杀清除木马
此外,360安全卫士已经推出了反挖矿功能,
全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。
,
