Слабый пароль был взорван снова! Новый вариант троянского майнинга KingMaker был онлайн, что направлен на двойной майнинг Monero!

30 Июл. 2019 г.kate
Подробнее о 360 Total Security

В последнее время 360 Total Security отслеживает последние варианты майнинга KingMiner. Авторы вируса используют взлом слабого пароля SqlServer для получения системных привилегий, а затем внедряют трояны майнинга. Троян использует белый способ выкопать Monr / OE. Чтобы обеспечить успешное выполнение процесса майнинга, автор вируса выполнит резервный процесс в системе выше XP и использует метод загрузки памяти powershell, чтобы выкопать Monroe, весь процесс, как показано ниже:

Процесс выполнения вируса

360 Total Security поддерживают перехват и убийство таких троянов.  Пользователям рекомендуется своевременно загрузить и установить 360 Total Security, чтобы защитить конфиденциальность компьютера и безопасность имущества.

360 Total Security поддерживают перехват и убийство таких троянов.

Взлом слабого пароля для получения системных разрешений

Он очистит старый отдел и дождет возможности провести новый раунд майнинга

После использования слабого пароля SQLserver для получения системных разрешений троянец добычи KingMiner запустит% UserProfile% \ Music \ 1.vbs, чтобы очистить старую версию, а затем загрузить последние варианты вирусов для развертывания. В дополнение к белой системе и  вирусному модулю, также выполняется альтернативный процесс отражения PowerShell, загружающий динамическую библиотеку майнинга. Общая логика кода выглядит следующим образом:

Общая логика кода

1.vbs скачал* a1.zip, что не является сжатым файлом, а представляет собой файл формата xml, объект DOM хранит пакет сжатия вирусов, закодированный в base64, таким образом, в некоторой степени можно избежать обнаружения программного обеспечения безопасности.

Спасоб избежать обнаружения программного обеспечения безопасности

2.vbs скачал xml-файл и проанализировал сжатый файл, сохранил его в каталоге% UserProfile% \ Music и запустил aller.exe после распаковки. Соответствующий код выглядит следующим образом:

Соответствующий код

Структура распакованного каталога показана ниже,  alger.exe, используемый вирусом, является белым файлом, что  содержает  действительную цифровую подпись Google:

Структура распакованного каталога

После запуска alger.exe будет загружена вирусная динамическая библиотека goopdate.dll. Динамическая библиотека будет читать содержимое файла x.txt для расшифровки и расшифровывать libxmrig.dll. Логика расшифровки показана ниже:

Логика расшифровки

Расшифрованная библиотека libxmrig.dll содержит следующую строку, представляющую собой программу майнинга с открытым исходным кодом xmrig, скомпилированную автором вируса:

Строка, содержанная расшифрованной библиотекой libxmrig.dll

Libxmrig.dll прочитает информацию о конфигурации в config.json, чтобы начать майнинг, связанную информацию о конфигурации, как показано ниже:

Libxmrig.dll прочитает информацию о конфигурации в config.json

Дифференциальная обработка XP или выше систем

Развертывание альтернативного процесса майнинга в двух направлениях

Когда обнаруживает, что процесс alger.exe не запущен, вирус загрузит n.txt для выполнения, n.txt загрузит 241 * .txt для дешифрования, дешифрует программу майнинга libxmrig.dll, а затем загрузит libxmrig.dll, чтобы выполнить майнинг. Соответствующая логика заключается в следующем:

Соответствующая логика

Из-за «нулевой стоимости, высокий доход»

Черная индустрия стала новой моделью для майнинга троянов

Поскольку в использовании троянского майнинга не нужно затрат, даже если колебания цен на криптовалюты колеблются, некоторые крупные семейства майнинга все еще могут сделать горнодобывающий бизнес успешно. Автор вируса постепенно начинает развивать коммерциализацию.

В настоящее время ситуация с разработкой майнинговых троянов является тяжелой. Чтобы избежать дальнейшего увеличения потерь, 360 Total Security рекомендует, чтобы  пользователи приняли следующие защитные меры для защиты от атак майнинга:

1.360 Total Security может перехватить атаку этого типа трояна,  пользователь могут зайти на сайт www.360totalsecurity.com,              скачать и установить 360 Total Security для защиты компьютерной безопасности;

  1. KingMiner в основном распространяется по слабому паролю взрывающего сервера SqlServer, и пользователи могут эффективно защищаться от такого вторжения троянов, изменяя слабые пароли;
  2. Когда компьютер окажется неисправным, используйте 360 Total Security для проверки физических данных и уничтожения вирусных троянов;
  3. Своевременно исправляйте системы и прикладное программное обеспечение, чтобы закрыть ненужные порты и службы.
Подробнее о 360 Total Security