北京哪里有治疗白癜风的医院 http://m.39.net/disease/yldt/bjzkbdfyy/index.html近日,瑞星安全专家率先监测到挖矿木马病*“DTLMiner”最新变种,新版本病*更换了IP和域名,并且增加了一个挖矿模块,新版挖矿模块会下载显卡驱动,利用显卡进行挖矿,大幅提升挖矿速度的同时会导致系统卡顿,显卡发热。目前,瑞星云安全系统显示,已有数千用户感染该挖矿病*。
下载后文件名
MD5
功能
%appdata%\Microsoft\cred.ps1
EE44DDAEF
Powershell攻击模块
%temp%\mn.exe
66EABEEFCB11AF8E8EA3
挖矿模块
%temp%\4-8个字符的随机名称
CDFE4CD8C20E7B22C2E8EF8C8
python编写的攻击模块
%temp%\ddd.exe
8AA7FCDE9A21CA8
新增挖矿模块
表:病*下载的各模块
新版挖矿木马病*“DTLMiner”不仅会导致中*机器CPU占用率过高,机器卡顿,同时还会导致显卡占用率过高,显卡发热等现象,严重影响用户正常工作。目前瑞星ESM已能成功查杀该病*的最新版本。
图:瑞星ESM查杀截图
“DTLMiner”挖矿木马的黑历史:
年12月,“驱动人生”的升级模块被不法分子利用传播挖矿木马病*“DTLMiner”,短期内感染数万台计算机。
年2月、3月又分别进行了更新,增加了数字签名与弱口令攻击,攻击面进一步增大,同时又躲避查杀。
此次瑞星截获的“DTLMiner”已经是第5次变种。
针对该木马病*对企业网络安全带来的潜在威胁,瑞星安全专家建议:
1、安装永恒之蓝漏洞补丁,防止病*通过漏洞植入;
2、系统和数据库不要使用弱口令账号密码;
3、多台机器不要使用相同密码,病*会抓取本机密码,攻击局域网中的其它机器;
4、安装杀*软件,保持防护开启。
技术分析
新版挖矿木马病*“DTLMiner”通过漏洞和弱口令攻击植入,创建快捷方式开机自启动。
图:病*创建的快捷方式
快捷方式运行之后,执行flashplayer.tmp。此文件是一个脚本,使用JS调用PowerShell脚本下载。
图:flashplayer.tmp内容
下载的文件就是下载模块,此模块会下载攻击模块和挖矿模块。下载模块使用多层混淆。
图:多层混淆的下载模块
最终解密出下载脚本,脚本运行后首先获取本机网卡mac地址,获取本机安装的杀*软件信息。
图:获取本机网卡和杀软信息
之后随机延时一段时间。
图:延时一段时间
判断配置文件是否存在,如果不存在则下载对应样本。
图:根据配置文件下载对应样本
1)如果配置文件k1.log不存在,则创建计划任务持久驻留。
根据用户权限不同,创建的计划任务不同,如果当前用户是管理员权限则访问: