一:木马概述
近日 360安全中心接到用户反馈,用户在使用任务管理器查看电脑资源占用时候发现lsass.exe进程占用CPU异常高,而且居高不下。我们在提取用户电脑文件后发现这是一类新的驱动挖矿木马,将其命名为NewKernelCoreMiner,已经感染超过十万用户,360安全卫士已经率先支持查杀该木马。
二:木马分析
驱动文件信息为
驱动入口创建随机设备名
注册进程回调:
进程回调中判断进程 注入代码
注入lsass进程后:
注入挖矿代码为开源代码修改而来:
进程CPU占用:
360安全卫士已经支持查杀:
三:安全提醒
近期挖矿木马非常活跃,让人防不胜防。建议用户及时打上系统补丁,发现电脑卡慢CPU占用过高等异常情况时候使用安全软件扫描,同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招,尽快使用360安全卫士查杀清除木马
此外,360安全卫士已经推出了挖矿木马防护功能,
全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。
下载地址:
http://down.360safe.com/inst.exe
,
