360 Total Security Blog

Cryptominer, WinstarNssmMiner, taucht wieder auf und infiziert 30.000 Computer an einem einzigen Tag

Das 360 Security Center erkannte einen sich aktiv verbreitenden CryptoMiner Trojaner, der 30.000 Computer an einem einzigen Tag infizierte. Der Trojaner wird mit Software-Cracks und Plugins installiert. Wir raten dringend, Software nur über offizielle Websites (nicht über unbekannte Quellen) herunterzuladen. Wir haben diesem Trojaner den Namen „WinstarNssmMiner3“ gegeben, da er dasselbe Verhalten wie „WinstarNssmMiner“ zeigt.

Analyse

Der neue Trojaner wird mit dem Inno-Format statt MSI gebaut und tarnt sich, indem es seinen Namen von unzip.exe zu q.exe ändert.

Das Installationsprogramm führt den Befehl q.exe -o -P pwzx aa.zip aus, um den Trojaner zu extrahieren.

Die extrahierte Datei Uninstall.dll lädt den Trojaner und _locale.nls ist das verschlüsselte Core-Skript. Das Ladeprogramm verschlüsselt und führt das Core-Skript im Speicher aus.

Entschlüsseln Sie die Core-PE-Datei form _locale.ns im Speicher und laden sie sie.

Der verschlüsselte Trojaner baut im Speicher ab. Diese Trojaner-Variante implementiert VMP, um seinen Code zu schützen.

Der Trojaner erstellt eine geplante Aufgabe, die auf dem Computer der Opfer ebenso wie die vorherige Version aktiviert bleibt.

Er erstellt ein bösartiges Chrome-Plugin.

Die Information des Plugins:

Es infiziert den Prozess svchost.exe für Mining und braucht die CPU-Ressource auf.

Mit VirusTotal ermittelt:

Erinnerung

In letzter Zeit haben wir festgestellt, dass sich viele CryptoMiner-Trojaner in freier Wildbahn ausbreiten. Wir empfehlen Anwendern dringend, bei der Installation neuer Anwendungen Antivirus-Software einzusetzen. Anwendern wird auch empfohlen, gemeinsam mit 360 Total Security einen Virenscanner laufen zu lassen, um nicht zum CryptoMiner-Opfer zu werden.