“太极挂机”软件圈钱骗局:披着网赚外衣的“三合一”挖矿木马 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

“太极挂机”软件圈钱骗局:披着网赚外衣的“三合一”挖矿木马

360安全卫士 技术 2017-12-11 09:38:33
355643
收藏

导语:近期,网上兴起一种“太极挂机”软件,声称只需下载运行该软件无需任何操作就能轻松挂机赚钱。360安全中心经分析发现,所谓的挂机网赚只是木马病毒的幌子。包括“太极挂机软件”在内的多款类似恶意程序一旦被用户下载并安装,不但会大量占用CPU资源进行挖矿操作,还会在用户机器上传播Ramnit感染型木马,更有甚者,直接给电脑添加上MBR密码使用户无法正常登录系统!

近期,网上兴起一种“太极挂机”软件,声称只需下载运行该软件无需任何操作就能轻松挂机赚钱。360安全中心经分析发现,所谓的挂机网赚只是木马病毒的幌子。包括“太极挂机软件”在内的多款类似恶意程序一旦被用户下载并安装,不但会大量占用CPU资源进行挖矿操作,还会在用户机器上传播Ramnit感染型木马,更有甚者,直接给电脑添加上MBR密码使用户无法正常登录系统!

披着“轻松网赚”名号的木马极易诱骗网民中招,360安全卫士无需升级就能拦截此类木马,保持安全软件常开即可有效防御;此外,一旦发现电脑出现CPU占用过高、发热变慢等情况,应尽快使用360安全卫士查杀木马;同时,如果出现系统被锁的情况,可使用360系统急救箱对MBR进行修复后,再使用安全卫士全盘扫描彻底清除木马。

下面就以“太极挂机”程序进行简单分析:

“太极挂机”主要行为流程简图:

2.png

图2

一、挖矿行为:

程序运行后检测没有被调试后便开始挖门罗币,挖门罗币的矿池、钱包等信息:

3.png

图3

4.png

图4

挖矿时CPU几乎被100%占用:

5.png

图5

上述分析得到门罗币钱包地址:

48W67urumqALX6UDRyqpSG8ENHLj9mbswgLSEVTHR3JMc6WqrRw8CRrTvDk2yL2eC2PCH5j5urG2fgtnnuAnzGRbTaNvhgv

这个钱包共有20个门罗币,以当前的门罗币兑人民币单价计算,总值达到约3.7万元人民币。

6.png

图6

7.png

图7

二、添加开机MBR锁密码:

该挂机程序当检测到有调试类程序运行时则会立即修改电脑的MBR添加密码并退出挖矿程序,被修改MBR后需要输入其设置的随机密码才能正常开机!!

8.png

图8

9.png

图9

之后程序就会修改MBR,修改后的MBR如下图所示:MBR锁密码为随机生成的14位大小写字母+AAAA:

10.png

图10

11.png

图11

三、Ramnit感染:

除以上行为外,太极挂机软件还会释放出今年比较流行的Ramnit感染型木马(不过分析人员怀疑该行为并非挂机软件作者自己有意而为之,而是作者的开发环境本身也中了Ramnit木马导致开发出的木马程序也被该木马感染所造成的二次传播),如下图所示:代码段 .rmnet 就是Ramnit感染型木马的核心代码,该代码段被设置为程序入口点所在段,在程序运行后被最先执行:

12.png

图12

挂机挖矿程序运行后会在 Program Files 目录下创建 MicrosoftDesktopLayer.exe 可执行程序。DesktopLayer.exe 启动 IE 的浏览器的进程 iexplore.exe,并将 iexplore.exe 地址空间替换成木马的恶意代码,后续的感染 html 文件、可执行文件及网络通信都是通过被替换的 iexplore.exe 进程来实现的。此外木马还会修改注册表项 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit,来达到开机启动的目的。

木马还会感染电脑中的 所有.html 或 .htm 后缀的网页,在 .html 或 .htm 文件中添加如下的 VBScript攻击代码:

13.png

图13

14.png

图14

结语:

随着虚拟币的兴起,巨大利益催生了挖矿黑色产业链,不法分子开始尝试“不同寻常”的挖矿之路,让人防不胜防。用户应注意提高防范意识,切勿轻信所谓的网赚挂机程序的误导提示(如杀毒软件误报-添加信任运行等)。注意保证安全软件的常开以进行防御。


  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务