罕见!驱动护体的挖矿病毒ProtectionX

千里目实验室 系统安全 2018年9月26日发布

导语:近日,深信服安全团队追踪到一新型的挖矿病毒,该病毒与普通挖矿病毒有很大差异,普通挖矿没有特殊防护,而该病毒采用了驱动进行防护,十分罕见。

1、挖矿病毒

近日,深信服安全团队追踪到一新型的挖矿病毒,该病毒与普通挖矿病毒有很大差异,普通挖矿没有特殊防护,而该病毒采用了驱动进行防护,十分罕见。

与多数挖矿病毒一样,感染主机会出现异常卡顿现象,且CPU占用率过高。该病毒使用了驱动保护,无法通过任务管理器中止病毒进程,很难查杀。深信服已将该病毒命名为ProtectionX。

感染ProtectionX病毒后,系统中会存在3个进程:母体1sass.exe及其子进程wuauc1t.exe与win1ogon.exe,注意名称中是“1”而不是“l”。其中win1ogon.exe进程占用大量CPU资源。

图片1.png

尝试终止1sass.exe进程,提示“拒绝访问”。而终止wuauc1t.exe和win1ogon.exe进程后,又会重新起来!这里,是因为有驱动保护了1sass.exe,而1sass.exe又防护了wuauc1t.exe与win1ogon.exe,环环相扣,多层护体。

图片2.png

2、行为分析

病毒执行流程如下:

图片3.png

主要包括3个模块:自保护、持久化以及挖矿模块。其中自保护模块用于保护病毒母体进程不被杀掉,持久化模块添加开机自启动,挖矿模块会进行挖矿并杀掉别的挖矿进程以及其他一些CPU占用高的进程。

2.1 病毒文件

病毒母体1sass.exe为一个win32程序,加了VMP壳。

图片4.png

2.2 自保护模块

释放ProcessExtended.dll模块到本目录并加载。

图片5.png

图片6.png

调用ProcessProtectionX函数。

图片7.png

ProcessProtectionX函数首先释放一个驱动文件到%Temp%目录,驱动文件名由7个随机的字母加数字组成。

图片8.png

安装驱动,服务名为hy5.5。

图片9.png

与驱动通信,将自身进程ID发送给驱动。

图片10.png

驱动中使用了SSDT HOOK,HOOK掉了NtOpenProcess从而实现进程保护。

图片11.png

图片12.png

删除驱动文件。

图片13.png

2.3 持久化模块

为1sass.exe添加自启动,注册表路径为

“HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font”。

图片14.png 

2.4 挖矿模块

挖矿模块包含两个进程:wuauc1t.exe和win1ogon.exe。由1sass.exe释放并运行,随后进入循环对这两个进程进程守护。

图片15.png

2.4.1 抢占资源

wuauc1t.exe的功能为抢占CPU资源,由1sass.exe释放到同一目录下并运行,运行时传入参数“win1ogon.exe”。

图片16.png

图片17.png

首先遍历系统进程并获取其CPU占用率。“Process\ % Processor Time”用于获取过程的所有线程在每个处理器上的处理器时间总和。

图片18.png

获取除传入参数“win1ogon.exe”、本进程以及“explorer.exe”以外的CPU占用较高的进程。

终止掉CPU占用较高的其他进程以及其他挖矿进程。

图片21.png

终止的其他挖矿进程列表如下:

图片22.png

2.4.2 挖矿

win1ogon.exe为挖矿进程,也是由1sass.exe释放到同一目录下并运行。矿池为pool.minexmr.com:7777。

有了其他两个进程的保驾护航,挖矿进程可以最大限度的利用系统资源进行挖矿。

3、解决方案

病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、更改账户密码,设置强密码,避免使用统一的密码。

4、可以尝试使用PC Hunter强制删除并结束进程1sass.exe、wuauc1t.exe、win1ogon.exe。

5、删除注册表项HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

如若转载,请注明原文地址: http://www.4hou.com/system/13808.html
点赞 9
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论