core挖矿下载手机版(安卓手机挖矿软件下载)

一:木马概述

近日 360安全中心接到用户反馈,用户在使用任务管理器查看电脑资源占用时候发现lsass.exe进程占用CPU异常高,而且居高不下。我们在提取用户电脑文件后发现这是一类新的驱动挖矿木马,将其命名为NewKernelCoreMiner,已经感染超过十万用户,并且保守估计收益超百万360安全卫士已经率先支持查杀该木马。

二:木马分析

1 驱动部分

驱动文件信息为:

core挖矿下载手机版(安卓手机挖矿软件下载)

驱动主要功能如下图:

core挖矿下载手机版(安卓手机挖矿软件下载)

然后我们从图中几部分对驱动进行详细分析。

入口点

core挖矿下载手机版(安卓手机挖矿软件下载)

全局变量中保存操作系统和驱动信息:

core挖矿下载手机版(安卓手机挖矿软件下载)

检测内核调试器:

core挖矿下载手机版(安卓手机挖矿软件下载)

保存必要驱动信息,为以后随机化线程地址做准备:

core挖矿下载手机版(安卓手机挖矿软件下载)

然后初始化下注入挖矿模块信息,该链表是可以随时由应用层更新传给驱动的

主要包含信息为要注入进程名字的Hash,注入模块大小,注入模块代码

core挖矿下载手机版(安卓手机挖矿软件下载)

这个链表可以由应用层随时更新的

挂钩NTFS 派遣函数:

core挖矿下载手机版(安卓手机挖矿软件下载)

最后注册进程回调:

core挖矿下载手机版(安卓手机挖矿软件下载)

进程回调中判断进程 注入代码并且传递设备句柄用于交互,之前的设备名完全是随机的:

core挖矿下载手机版(安卓手机挖矿软件下载)

填充各类有效信息到应用层全局变量:

core挖矿下载手机版(安卓手机挖矿软件下载)

2 应用层挖矿模块

驱动传来的信息存在全局变量中,继续填充该全局变量

core挖矿下载手机版(安卓手机挖矿软件下载)

再次判断下注入进程名字信息,该模块为通用判断

如果是浏览器进程则挂钩LdrLoadDll:

core挖矿下载手机版(安卓手机挖矿软件下载)

禁止以下模块加载:

core挖矿下载手机版(安卓手机挖矿软件下载)

也清理下之前的老版本文件,清理的列表文件:

core挖矿下载手机版(安卓手机挖矿软件下载)

然后创建两个线程

线程1主要为打点收集用户信息

上传信息为:

core挖矿下载手机版(安卓手机挖矿软件下载)

拼接后:

tj.16610.com/api/_mcc_statu.php?STATUS=0&DHS=00000000&UHS=00000000&RHS=00000000&REV=0&RC=0&CID=9098&UID=9098&VER=20180423&RM=NotAvailable&DMJ=0&DMN=0&DBL=0&UMJ=2&UMN=9&UBL=2976&MID=&BW=32&NTMJ=5&NTMN=1&NTBL=2600&NTSPMJ=3&NTSPMN=0&NP=4&MM=2146869248&OSTC=1396281&SVSN=84C5D18C&SVFS=NTFS

线程2为加载挖矿模块线程

真正的挖矿功能模块也是动态下载而来,下载地址为:

core挖矿下载手机版(安卓手机挖矿软件下载)

矿池配置信息:

core挖矿下载手机版(安卓手机挖矿软件下载)

随机挑选地址格式化参数:

core挖矿下载手机版(安卓手机挖矿软件下载)

配置文件信息:

core挖矿下载手机版(安卓手机挖矿软件下载)

使用完成后开启线程删除配置文件

core挖矿下载手机版(安卓手机挖矿软件下载)

然后传入配置信息进行挖矿。

注入后线程数量:

core挖矿下载手机版(安卓手机挖矿软件下载)

进程CPU占用:

core挖矿下载手机版(安卓手机挖矿软件下载)

360安全卫士已经支持查杀:

core挖矿下载手机版(安卓手机挖矿软件下载)

三:安全提醒

近期挖矿木马非常活跃,让人防不胜防。建议用户及时打上系统补丁,发现电脑卡慢、CPU占用过高等异常情况时使用安全软件扫描,同时注意保证安全软件的常开以进行防御,一旦受诱导而不慎中招,尽快使用360安全卫士查杀清除木马。

此外,360安全卫士已经推出了挖矿木马防护功能,全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。

下载地址:

http://down.360safe.com/inst.exe

免责声明: 文章源于会员发布,不作为任何投资建议

如有侵权请联系我们删除,本文链接:https://www.sws100.com/biquan/209670.html

(0)
鸟叔鸟叔
上一篇 2023年 2月 12日
下一篇 2023年 2月 12日

相关推荐

  • ZVC币前景怎么样?是不是空气币?

    ZVC, ZVChain采用了VRF+BLS的新共识机制Chiron,搭建了一个高安全、高性能、低成本的去中心化清结算系统,构建出一套符合传统商业逻辑的双重账户体系,在保护用户商业隐私的前提下,通过密码学满足监管的要求。(个人定义:目前阶段属于空气币) 1.图一中提到“自比特币诞生以来,学术界和业界对区块链共识机制的研究不断深入。已经建立了许多不…

    币圈资讯 2023年 1月 30日
  • 币安还款(币安连接不上)

    关于币安还款(币安连接不上)这个问题很多人都不太了解,下面由句子百科https://www.sws100.com小编effile为大家详细讲解一下,大家来看下。 1.11月11日,有加密货币交易所币安用户向蓝鲸财经反映,近日以来,频繁收到OMG。 2.币安交易所作为全球最受欢迎的交易所,其资产总值126亿美元,共有610个交易对,这种规模可以说是币圈数一数二…

    2023年 4月 10日
  • 火币的币能提到币安吗(币安矿池越挖越少)

    关于火币的币能提到币安吗(币安矿池越挖越少)这个问题很多人都不太了解,下面由句子百科Sws100.com小编大唐风水网为大家详细讲解一下,大家来看下。 1.火币能直接转到币安吗?火币怎么转币到币安根据交易所实力不同,各交易所上架的数字货币也不同,如果投资者想要购买数字货币的话,很有可能会用到跨交易所转币。 2.币安和火币可以互转吗? 币安转账到火币教程 币安…

    2023年 3月 19日
  • 微博币安(币安的api 如何写)

    关于微博币安(币安的api 如何写)这个问题很多人都不太了解,下面由句子百科网小编(sws100.com)derfy为大家详细讲解一下,大家来看下。 1.每经记者:刘永生 每经编辑:刘野11月13日晚间,币安虚拟货币交易所官方微博账号被微博官方屏蔽,显示该账号被投诉违反法律法规和《微博社区公约》,具体。 2.2018年甫一进入2月,币圈就迎来一个大消息:币安…

    2023年 3月 26日
  • 用口令正如我们后面将提到的那样

    脑钱包是一个典型通过散列密码来生成一个私钥,从而创建一个生成地址的公钥的钱包。一个典型的比特币或莱特币地址由一个256位的字符串组成,它通常使用SHA-256算法,并且可以应用不同的难度级别来实现这一点。这些字符串类似于随机组合在一起的一长串数字和字母,没有任何意义。 脑钱包的简单概念是,你要记住你的密码,不要把它写下来,也不要储存在文件里。把私钥记在你的脑…

    币圈资讯 2023年 3月 27日

联系我们

在线咨询: QQ交谈

邮件:k37759@foxmail.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信