据腾讯御见威胁情报中心报道,WannaMine挖矿木马再活跃,自2019年6月开始在国内呈现新的快速增长趋势,目前已影响近14万台设备。病毒感染地区分布前三名分别为:广东(20.3%)、江苏(7.7%)、浙江(7%)。
木马危害:
1)窃取设备信息,包括guid、IP、桌面截图、系统和CPU等
2)窃取加密货币钱包信息,浏览器各类网站登录信息
3)占用计算资源进行XMR挖矿
4)被控制成为肉鸡,接受命令进行DDOS攻击
传播渠道:
木马作者利用人们不愿意为收费软件付费,喜欢使用破解版软件的心理,将木马植入各类“破解版”、“完整版”、“注册机”程序当中,然后上传到网站提供下载,用户一旦下载使用便会中招。
传播木马的网站hxxps://www.4allprograms.net提供andriod、windows、Mac等系统的各类激活版软件,其中系统激活、office激活、图像处理类软件注册机都存在木马植入。
发现木马的部分软件名(下载时对应文件名):
Corel_All_Products_Keygen_Activator_2018_Full_Version.exe
Winrhizo_software_free.exe
EaseUS_Data_Recovery_Wizard_11_9_0.exe
ARTEAM_MAKAIWARS_v_01_04_01_MOD_1_SIGNED.exe
Microsoft_Toolkit_2_7.exe
Microsoft_Office_2016_Activation_Key_List_Free_Dow.exe
0x4木马分析
4.1.Ctask.exe分析
木马启动时伪装为进程名ctask.exe,拷贝自身到ProgramData目录然后将自身删除、并释放用于下载update.exe木马的VBS、注意力币文件。
木马拷贝自身到programdata目录
木马释放VBS、注意力币路径
VBS通过shell执行注意力币
注意力币利用certutil下载执行木马update.exe
(本文源自网络,由新视区块链整理。)
————/END/————
【新视区块链直播平台】正式上线啦!长按识别下方图中二维码进入直播平台,以全新融媒体的方式带您了解区块链☟ 正在直播哦~
回复白皮书免费下载最新最权威的白皮书
回复区块链从0到1了解区块链技术
回复直播联系我们,提供专业的区块链直播服务,适用于峰会、培训等多场景