近日,360安全中心的技术大牛们监测到一类挖矿木马又活跃了起来,近一周360安全卫士对此类木马拦截超过20万次,并且国内的互联网用户也在这类挖矿木马的攻击范围之内,所以360安全中心有必要向大家预警,并且作出战况说明。
这类挖矿木马的恶意程序先是*绑捆**了一款定时关机软件“Shutdown Timer”隐藏其中,而这款软件又经常*绑捆**在各种外挂和破解软件中一起被用户*载下**,这使得国内的用户极易在不知情的情况下中招。国外的安全研究员根据此类挖矿木马的作案手法,给它起了一个非常直白的名字“ShutdownTimerBundlerMiner(*绑捆**了关机计时器的挖矿木马)”。
虽然这句话已经重复过很多次了,但还是要再跟各位用户强调一下,外挂和破解软件要谨慎*载下**!言归正传,以下将是对本次挖矿木马的专业分析(如果你和小编一样看不太懂大神们的语言,那可以直接跳到结尾处查看解决方案)。这次的Shutdown Timer软件在其他软件中做*绑捆**实施推广安装,*载下**到用户电脑上后的文件是这个样子的:
这个软件安装在用户电脑上之后会在系统服务中安装另一个可执行程序(%userprofile%\appdata\roaming\software updater\softwareupdater*ex.e**),这个程序是用C#语言编写的,会开机启动。入口函数主要是用来判断传入参数,然后会开启定时器:
定时器代码:
定时器触发执行代码:
通过解析服务器返回值来决定执行各种命令:
客户端支持命令为:
其中FileCommand为*载下**更新挖矿模块,*载下**代码是这样的:
地址为: http://greeenanalytics.com/apps/hasher/appmgr*ex.e**
挖矿模块为:
http://greeenanalytics.com/apps/hasher/appmgr.dll
之后将该模块注册为服务,开机后自动进行挖矿。
矿池地址写入配置文件:
以上,是对这次挖矿木马的病毒样品分析,小编给技术大牛跪了。虽然没有360安全团队研究员的过人才智,但我还是要很自豪地说,目前只有两款安全软件可以对此类挖矿木马进行查杀,而360安全卫士就是其中之一!
做安全,我们是认真的,所以我也要很认真地分享一些防御挖矿木马的秘诀给你:
首先,谨慎*载下**外挂和破解软件。
其次,不要让你的电脑“裸奔”,给他穿个衣服,装个安全软件,360安全卫士就很不错哦。
已经安装了安全软件的各位,安了不开也是没用的,还要保持安全软件的时常开启。
最后,真心推荐给你360安全卫士的挖矿木马防护功能,让你从此告别挖矿木马带来的电脑卡慢等问题!点击解决所有问题>>> http://urlqh.cn/m5rYE