В последнее время 360 Центре Безопасности обнаружил новый троян-КриптоМайнер под названием «NewKernelCoreMiner».Троян обнаружен благодаря отзывам наших пользователей, они обнаружили, что процесс lsass.exe использует ненормально высокие возможности процессора.
Анализируя компьтерные документы пользователей, он завершается как новый тип трояна для майнинга. Этот троян заразил более 100 000 компьютеров. Кроме того, доход, полученный трояном, оценивается более чем 350 000 долларов США. К счастью, мы можем его обнаружить и удалить.

Анализ драйверов

Информация о драйвере:

Информация о драйвере и операционной системе сохраняется в глобальных переменных:

Обнаружение отладчика ядра:

Сохранить необходимую информацию о драйвере для подготовки к рандомизации потока адреса:

Затем инициализировать введенную информацию модуля для майнинга. Инициализированный модуль майнинга может быть обновлен и передан драйверу прикладным уровнем в любое время. Основная информация о введенных сообщениях содержит хэш имени введенного процесса, размер введенного модуля и код введенного модуля.

Этот модуль может быть обновлен прикладным уровнем в любое время:
Подцепить функцию отправки NTFS:

И, наконец, зарегистрировать процесс обратного вызова:

Определить процесс в обратном вызове, введить код и доставить атрибуты устройства для взаимодействия.

Заполнить все виды действительной информации в глобальных переменных прикладного уровня:

Модуль майнинга прикладного уровня:
Информация, отправленная драйвером, сохраняется в глобальных переменных.

Обнаружить информацию об введенном процессе.
Если это процесс -браузер, то подцепить LdrLoadDLL:

Загрузка следующих модулей запрещена:

Очистить файлы предыдущих версий.

Создать два потока,первый поток собирает информацию пользователя. Загруженная информация:

После договоренности:

Второй поток загружает потоки модуля для майнинга.
Модуль реального майнинга также загружается динамически. Адрес загрузки:

Конфигурация пула майнинга:

Случайно выбрать адрес и инициализировать параметры майнинга:

Информация о файлах конфигурации:

Запустите поток, чтобы удалить файл конфигурации после инициализации.

Затем отправить конфигурационную информацию для майнинга.
Количество нитей после инъекции:

Использование процессора процесса:

Напоминание:

В последние дни мы обнаружили, что многие трояны-КриптоМайнеры активно распространяются . Мы настоятельно рекомендуем пользователям включать антивирусное программное обеспечение при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью 360 Total Security, чтобы не стать жертвой КриптоМайнеров.