2018-06-27 21:05:46 建築工人

近日，火絨安全團隊截獲新蠕蟲病毒“SyncMiner” ，該病毒在政府、企業、學校、醫院等單位的局域網中具有很強的傳播能力。該病毒通過網絡驅動器和共享資源目錄（共享文件夾）迅速傳播，入侵電腦後，會利用被感染電腦挖取“門羅幣”，造成CPU佔用率高達100%，並且該病毒還會通過遠程服務器下載其他病毒模塊，不排除盜號木馬、勒索病毒等。

一、概述

根據火絨安全團隊分析發現，蠕蟲病毒“SyncMiner”會將自己複製到網絡驅動器和共享資源目錄，並偽裝成視頻文件夾，誘使用戶點擊病毒文件，從而激活病毒，並通過添加計劃任務和開機啟動項的方式駐留在系統中。其中，病毒將計劃任務偽裝為Java運行庫的更新進程，在繼續傳播的同時進行挖礦；將開機啟動項偽裝為Adobe更新進程，檢測並恢復病毒文件，使病毒屢殺不絕。

目前，火絨“企業版”和“個人版”最新版均可徹底查殺蠕蟲病毒“SyncMiner”。同時，政府、企業、醫院、學校等受此類病毒威脅較大的局域網用戶，我們建議申請安裝“火絨企業版”，可有效防禦局域網內病毒屢殺不絕的難題。

二、 SyncMiner蠕蟲詳細分析

該病毒在運行後會將自身拷貝到%Appdata%\\Java Sun和%AppData%\\Roaming\\Adobe路徑下，利用計劃任務和註冊表項實現病毒自啟動。該病毒會通過映射的網絡驅動器和網絡中的共享資源進行傳播，並在被感染的機器上挖取門羅幣。除此之外，病毒會向C&C服務器下載並執行其他的病毒模塊。病毒的總體邏輯，如下圖所示：

病毒總體邏輯

該蠕蟲病毒會將自身複製到映射的網絡驅動器和共享資源目錄中，並將病毒命名為video.scr，配合其具有誘導性的圖標，欺騙用戶點擊病毒文件，從而激活攜帶的惡意代碼。感染後的共享文件夾，如下圖所示：

被病毒感染的共享文件夾

當病毒運行時，會判斷傳遞給病毒進程的參數，當參數為“sync”時，會把病毒文件拷貝到%Appdata%\\Java Sun路徑下，並將其註冊成名為“SunJavaUpdateSched”的計劃任務。代碼邏輯，如下圖所示：

將病毒註冊為計劃任務

註冊的計劃任務在每天8:00觸發後，每隔15分鐘重複一次，觸發器在2040年1月1日過期，操作為“%Appdata%\\Roaming\\Java Sun\\jucheck.exe begin”。計劃任務屬性，如下圖所示：

註冊的計劃任務屬性

計劃任務對應的病毒進程在運行時，會利用當前計算機挖礦，挖礦時計算機CPU會高達100%，容易被安全軟件發現並清除。為了使得病毒更長久的駐留在系統中，病毒還將自身拷貝到%AppData%\\Roaming\\Adobe目錄下，將其命名為UpdaterStartupUtility.exe，偽裝成Adobe升級程序，並通過註冊表設置為開機啟動項 “AdobeAAMUpdater”。這樣做的目的是，如果計劃任務對應的病毒被清除，當系統再次重啟之後，病毒可以恢復計劃任務與對應的病毒文件，從而繼續執行惡意代碼。病毒邏輯，如下圖所示：

註冊為開機啟動項

1. 傳播方式

該蠕蟲病毒具有很強的內網傳播能力，其傳播方式有兩種。第一種是通過映射的網絡驅動器進行傳播，該病毒會枚舉註冊表（HKEY_CURRENT_USER\\Network）下關於當前系統映射的網絡驅動器，並將蠕蟲病毒拷貝到存在的網絡驅動器根目錄下。相關代碼邏輯，如下圖所示：

病毒利用網絡驅動器傳播

第二種是利用共享資源進程傳播，病毒會獲取當前系統的ip地址，從而獲得當前網絡所屬的網段，然後病毒會掃描當前網段中開放的139端口和445端口，若存在開放這些端口的計算機，則會檢索有關計算機上每個共享資源的信息，並且檢測與共享資源有關的安全描述符是否可用，若可用，則會獲取當前共享資源的名稱，並將病毒拷貝到此共享下。相關代碼邏輯，如下圖所示：