В последнее время 360 Total Security отслеживает последние варианты майнинга KingMiner. Авторы вируса используют взлом слабого пароля SqlServer для получения системных привилегий, а затем внедряют трояны майнинга. Троян использует белый способ выкопать Monr / OE. Чтобы обеспечить успешное выполнение процесса майнинга, автор вируса выполнит резервный процесс в системе выше XP и использует метод загрузки памяти powershell, чтобы выкопать Monroe, весь процесс, как показано ниже:
360 Total Security поддерживают перехват и убийство таких троянов. Пользователям рекомендуется своевременно загрузить и установить 360 Total Security, чтобы защитить конфиденциальность компьютера и безопасность имущества.
Взлом слабого пароля для получения системных разрешений
Он очистит старый отдел и дождет возможности провести новый раунд майнинга
После использования слабого пароля SQLserver для получения системных разрешений троянец добычи KingMiner запустит% UserProfile% \ Music \ 1.vbs, чтобы очистить старую версию, а затем загрузить последние варианты вирусов для развертывания. В дополнение к белой системе и вирусному модулю, также выполняется альтернативный процесс отражения PowerShell, загружающий динамическую библиотеку майнинга. Общая логика кода выглядит следующим образом:
1.vbs скачал* a1.zip, что не является сжатым файлом, а представляет собой файл формата xml, объект DOM хранит пакет сжатия вирусов, закодированный в base64, таким образом, в некоторой степени можно избежать обнаружения программного обеспечения безопасности.
2.vbs скачал xml-файл и проанализировал сжатый файл, сохранил его в каталоге% UserProfile% \ Music и запустил aller.exe после распаковки. Соответствующий код выглядит следующим образом:
Структура распакованного каталога показана ниже, alger.exe, используемый вирусом, является белым файлом, что содержает действительную цифровую подпись Google:
После запуска alger.exe будет загружена вирусная динамическая библиотека goopdate.dll. Динамическая библиотека будет читать содержимое файла x.txt для расшифровки и расшифровывать libxmrig.dll. Логика расшифровки показана ниже:
Расшифрованная библиотека libxmrig.dll содержит следующую строку, представляющую собой программу майнинга с открытым исходным кодом xmrig, скомпилированную автором вируса:
Libxmrig.dll прочитает информацию о конфигурации в config.json, чтобы начать майнинг, связанную информацию о конфигурации, как показано ниже:
Дифференциальная обработка XP или выше систем
Развертывание альтернативного процесса майнинга в двух направлениях
Когда обнаруживает, что процесс alger.exe не запущен, вирус загрузит n.txt для выполнения, n.txt загрузит 241 * .txt для дешифрования, дешифрует программу майнинга libxmrig.dll, а затем загрузит libxmrig.dll, чтобы выполнить майнинг. Соответствующая логика заключается в следующем:
Из-за «нулевой стоимости, высокий доход»
Черная индустрия стала новой моделью для майнинга троянов
Поскольку в использовании троянского майнинга не нужно затрат, даже если колебания цен на криптовалюты колеблются, некоторые крупные семейства майнинга все еще могут сделать горнодобывающий бизнес успешно. Автор вируса постепенно начинает развивать коммерциализацию.
В настоящее время ситуация с разработкой майнинговых троянов является тяжелой. Чтобы избежать дальнейшего увеличения потерь, 360 Total Security рекомендует, чтобы пользователи приняли следующие защитные меры для защиты от атак майнинга:
1.360 Total Security может перехватить атаку этого типа трояна, пользователь могут зайти на сайт www.360totalsecurity.com, скачать и установить 360 Total Security для защиты компьютерной безопасности;
- KingMiner в основном распространяется по слабому паролю взрывающего сервера SqlServer, и пользователи могут эффективно защищаться от такого вторжения троянов, изменяя слабые пароли;
- Когда компьютер окажется неисправным, используйте 360 Total Security для проверки физических данных и уничтожения вирусных троянов;
- Своевременно исправляйте системы и прикладное программное обеспечение, чтобы закрыть ненужные порты и службы.