首页 > 传媒 > 关键词  > 瑞星最新资讯  > 正文

瑞星率先捕获挖矿木马“DTLMiner” 中毒后仿佛闻到了烧显卡的味道

推广 · 2019-03-29 10:39 · 稿源: 厂商投稿

近日,瑞星安全专家率先监测到挖矿木马病毒“DTLMiner”最新变种,新版本病毒更换了IP和域名,并且增加了一个挖矿模块,新版挖矿模块会下载显卡驱动,利用显卡进行挖矿,大幅提升挖矿速度的同时会导致系统卡顿,显卡发热。目前,瑞星云安全系统显示,已有数千用户感染该挖矿病毒。

下载后文件名MD5 功能

%appdata%\Microsoft\cred.ps1E05827E44D487D1782A32386123193EFPowershell攻击模块

%temp%\mn.exe66EA09330BEE7239FCB11A911F8E8EA3 挖矿模块

%temp%\4- 8 个字符的随机名称CDF6384E4CD8C20E7B22C2E8E221F8C8python编写的攻击模块

%temp%\ddd.exe8A2042827A7FCD901510E9A21C9565A8 新增挖矿模块

表:病毒下载的各模块

新版挖矿木马病毒“DTLMiner”不仅会导致中毒机器CPU占用率过高,机器卡顿,同时还会导致显卡占用率过高,显卡发热等现象,严重影响用户正常工作。目前瑞星ESM已能成功查杀该病毒的最新版本。

图:瑞星ESM查杀截图

“DTLMiner”挖矿木马的黑历史:

2018 年 12 月,“驱动人生”的升级模块被不法分子利用传播挖矿木马病毒“DTLMiner”,短期内感染数万台计算机。

2019 年 2 月、 3 月又分别进行了更新,增加了数字签名与弱口令攻击,攻击面进一步增大,同时又躲避查杀。

此次瑞星截获的“DTLMiner”已经是第 5 次变种。

针对该木马病毒对企业网络安全带来的潜在威胁,瑞星安全专家建议:

1、安装永恒之蓝漏洞补丁,防止病毒通过漏洞植入;

2、系统和数据库不要使用弱口令账号密码;

3、多台机器不要使用相同密码,病毒会抓取本机密码,攻击局域网中的其它机器;

4、安装杀毒软件,保持防护开启。

技术分析

新版挖矿木马病毒“DTLMiner”通过漏洞和弱口令攻击植入,创建快捷方式开机自启动。

图:病毒创建的快捷方式

快捷方式运行之后,执行flashplayer.tmp。此文件是一个脚本,使用JS 调用PowerShell脚本下载。

图:flashplayer.tmp 内容

下载的文件就是下载模块,此模块会下载攻击模块和挖矿模块。下载模块使用多层混淆。

图:多层混淆的下载模块

最终解密出下载脚本,脚本运行后首先获取本机网卡mac地址,获取本机安装的杀毒软件信息。

图:获取本机网卡和杀软信息

之后随机延时一段时间。

图:延时一段时间

判断配置文件是否存在,如果不存在则下载对应样本。

图:根据配置文件下载对应样本

1)如果配置文件k1.log不存在,则创建计划任务持久驻留。

根据用户权限不同,创建的计划任务不同,如果当前用户是管理员权限则访问:https://v.y6h.net/g?h + 当前日期,如果当前用户非管理员权限则访问:https://v.y6h.net/g?l + 当前日期。

图:下载更新脚本

计划任务的功能是访问此网址,使用PowerShell执行获取到的内容。目前此网址处于无法访问状态,攻击者随时可以开启,下发任意脚本。

2)如果配置文件kkkk2.log不存在,则下载new.dat保存为cred.ps1,内容是混淆的PowerShell脚本。

图:下载cred.ps1

判断文件大小是否正确,如果正确则创建计划任务定时执行cred.ps1。

图:执行cred.ps1

cred.ps1 脚本被多层混淆。

图:多层混淆的cred.ps1 脚本

解密后可以看到,此版本是V5。

图:病毒版本

此模块主要还是为了攻击。

图:cred.ps1 脚本主要功能

调用永恒之蓝漏洞攻击。

图:永恒之蓝漏洞攻击

eb7 函数针对win7 和win2008。

图:eb7 函数

eb8 函数针对win8 和win2012。

图:eb8 函数

SMB弱口令攻击。

图:SMB弱口令

完整的密码列表如下,如果使用以下密码,建议尽快修改。

123456","password","PASSWORD","123.com","admin@123","Aa123456","qwer12345","Huawei@123","123@abc","golden","123!@#qwe","1qaz@WSX","Ab123","1qaz!QAZ","Admin123","Administrator","Abc123","Admin@123","999999","Passw0rd","123qwe!@#","football","welcome","1","12","21","123","321","1234","12345","123123","123321","111111","654321","666666","121212","000000","222222","888888","1111","555555","1234567","12345678","123456789","987654321","admin","abc123","abcd1234","abcd@1234","abc@123","p@ssword","P@ssword","p@ssw0rd","P@ssw0rd","P@SSWORD","P@SSW0RD","P@$$w0rd","P@$$word","iloveyou","monkey","login","passw0rd","master","hello","qazwsx","password1","qwerty","baseball","qwertyuiop","superman","1qaz2wsx","fuckyou","123qwe","zxcvbn","pass","aaaaaa","love","administrator"

图:cred.ps1 攻击模块内置的弱口令列表

攻击成功后,调用CopyRun函数,将 FlashPlayer.lnk和flashplayer.tmp植入被攻击机器,被攻击机器又会开始新的一轮循环,下载病毒攻击其它机器。

图:植入病毒

3)如果配置文件333.log不存在,则下载mn.dat,命名为mn.exe,此模块就是之前的挖矿模块。

图:下载mn.exe

4)如果配置文件kk4.log不存在,则下载ii.da,并使用4- 8 位随机字母命名,例如 hjqgbs.exe,此模块就是之前的攻击模块,使用Python开发,使用pyinstaller打包。

图:下载ii.dat 并随机命名

判断下载的文件大小是否正确,如果正确则创建计划任务运行此exe,根据不同的权限使用不同的方法运行,如果是管理员权限,直接创建计划任务运行此exe。

图:运行下载的exe

如果非管理员权限,则释放run.vbs脚本,将run.vbs脚本设置为计划任务,通过脚本运行此exe。

图:调用vbs脚本运行下载的exe

释放的run.vbs脚本。

图:vbs脚本内容

此exe仍然使用窃取的数字签名。

图:窃取的数字签名

解包后可以看到Python脚本。

图:Python脚本

脚本使用了base64 编码。

图:base64 编码的脚本

解码后得到病毒的Python代码,代码中的关键字符串也进行了混淆。

图:混淆的代码

图:混淆的代码

去混淆后,可以看到最终的病毒代码,病毒最开始会通过内存映射,检测当前版本。首先打开内存映射读取内容,如果没有获取到映射的内存,则创建内存映射将自身的路径+“**”+当前版本号+“$$”写入到新创建的内存映射中。

图:内存映射

如果获取到内存映射,则解析映射中的版本号和内存映射中的文件路径,计算MD5。如果当前程序的MD5 和内存映射中路径对应的文件MD5 相同,则不执行操作。

图:计算MD5

否则判断当前版本是否大于内存映射中的版本,如果大于结束之前版本的进程,当前程序复制过去。

图:判断版本

之后就是攻击传播的部分,病毒内置的攻击IP段、弱口令账号密码列表。

图:弱口令列表

弱口令密码又进行了扩充,完整的密码如下,如果当前计算机或者数据库软件使用了此列表中的密码,建议尽快修改密码。

'123456','password','qwerty','12345678','123456789','123','1234','123123','12345','12345678','123123123','1234567890','88888888','111111111','000000','111111','112233','123321','654321','666666','888888','a123456','123456a','5201314','1qaz2wsx','1q2w3e4r','qwe123','123qwe','a123456789','123456789a','baseball','dragon','football','iloveyou','password','sunshine','princess','welcome','abc123','monkey','!@#$%^&*','charlie','aa123456','Aa123456','admin','homelesspa','password1','1q2w3e4r5t','qwertyuiop','1qaz2wsx','sa','sasa','sa123','sql2005','1','admin@123','sa2008','1111','passw0rd','abc','abc123','abcdefg','sapassword','Aa12345678','ABCabc123','sqlpassword','1qaz2wsx','1qaz!QAZ','sql2008','ksa8hd4,m@~#$%^&*()','4yqbm4,m`~!@~#$%^&*(),.; ','4yqbm4,m`~!@~#$%^&*(),.;','A123456','database','saadmin','sql2000','admin123','p@ssword','sql123','sasasa','adminsa','sql2010','sa12345','sa123456','saadmin','sqlpass'

图:Python攻击模块内置的密码列表

病毒仍然会抓取密码,因此局域网中多台机器使用相同密码,一台机器中毒,也会导致其它机器被攻击。

图:抓取密码

永恒之蓝漏洞攻击。

图:永恒之蓝漏洞

开启共享,将病毒发送过去。

图:发送病毒

SMB弱口令攻击。

图:SMB弱口令攻击

MS SQL数据库弱口令攻击。

图:MS SQL弱口令攻击

5)如果配置文件kk5.log不存在,则下载ddd.dat,命名为ddd.exe,此模块为新版挖矿模块,会下载显卡挖矿相关的驱动。

图:下载挖矿模块ddd.exe

挖矿模块运行后界面。

图:挖矿模块界面

挖矿模块除了使用CPU挖矿之外,还会下载显卡挖矿相关的驱动,使用显卡进行挖矿。

图:下载的显卡驱动

6)最后访问控制服务器,将本机状态信息信息上传到控制服务器,便于统计感染状态。

统计的信息包括本地网卡mac地址、安装的杀毒软件、系统版本、感染标志、当前用户组、当前用户名等。

图:统计信息

IOC

md5:

17891737D9970812FE875D0B955B0E15

7441A59ABB6B4C96D0EAC70D884E8008

8A2042827A7FCD901510E9A21C9565A8

CDF6384E4CD8C20E7B22C2E8E221F8C8

E05827E44D487D1782A32386123193EF

3E96A29E82513C5859D5E508A75FA974

66EA09330BEE7239FCB11A911F8E8EA3

Domain:

mm.abbny.com

mm.beahh.com

lplp.beahh.com

lplp.abbny.com

lpp.beahh.com

lpp.abbny.com

ip:

128.199.64.236

27.102.107.137

27.102.118.147

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,文章为企业广告宣传内容,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • 腾讯云服务器12.12限时秒杀-1核2G首年50元

    腾讯云服务器12.12多种机型限时抢购,1核2G服务器4.17元/月,2核4G服务器6.17元/月,专业技术7*24小时在线服务,腾讯云为企业和个人提供快捷,安全,稳定的云服务!

    广告
  • 英伟达仍未指定增强版Ti显卡的官方读音

    熟悉英伟达游戏 GPU 命名规则的朋友,显然可以一眼辨认出纯数字型号、与带有 Super / Ti 尾缀的 SKU 之间的性能区别。比如 CES 2022 期间隆重发布的 GeForce RTX 3090 Ti 旗舰游戏显卡,定位就略高于 RTX 3090 。然而对于“Ti”这个尾缀的官方发音,英伟达似乎一直没个定论。一方面,在 GeForce 的读音上,大家已普遍形成一个共识,并不会将它拆分念作“Gee-Eee Force”。但另一方面,在“Ti”尾缀的读音上,有细心的网友发现 ——

  • 拒绝挖矿:AMD RX 6500 XT显卡下周三开卖

    1月4日晚,AMD发布了RX 6500 XT桌面级显卡,将在1月19日正式开售。这几天,华硕、华擎、微星、蓝宝石等厂商都已确定将同步发售这款新品,国内首发平台为京东。其中,华硕将推出Phantom Gaming D 4GB OC版以及 Challenger ITX版,盈通将推出大地之神版,撼讯将推出mini-ITX版,也是唯一的迷你小卡。价格方面,RX 6500 XT国内建议零售价预计1599元起步,但是眼下想原价买到几乎是不可能的任务。RX 6500 XT显卡拥有1024个流处理器,核

  • 食物中毒与抗议事件后 富士康印度工厂"逐步"恢复运转

    富士康表示,在工人对生活条件提出抗议后,它已经实施了"纠正措施",苹果公司也对位于Sriperumbudur的iPhone工厂进行了评估。在工人对不卫生的生活条件和食物中的虫子提出抗议后,富士康被迫关闭其印度南部工厂。除了当地政府的要求之外,富士康还被苹果要求“留用察看”直到工作条件得到改善。现在根据《经济时报》的报道,该公司已经宣布工厂逐渐恢复运转,开始让工人恢复工作。富士康印度公司在一份声明中说:"?

  • 百草枯中毒换肺女孩已能独立行走:最快两个月出院

    河北邢台的18岁女孩萌萌被姐夫投毒百草枯后,一度肺部严重纤维化,生命危急,幸得无锡市人民医院副院长、被誉为中国肺移植第一人”的陈静瑜医生操刀双肺移植,恢复良好...据媒体最新报道,目前萌萌已经能够独立行走,也能正常说话,将于近期转至无锡市人民医院接受康复治疗...萌萌的父亲透露:医生说如果恢复得好,最快两个月可以出院...萌萌于1月8日凌晨完成肺移植手术,很快苏醒,生命体征平稳,短时间内就撤了ECMO呼吸机,进入快速康复,重新享受轻松自由的呼吸”...

  • 强刷RTX 3090固件有望解锁RTX 3080 Ti显卡ETH挖矿算力至110MH/s

    早些时候,加密货币挖矿专家 CryptoDonkeyMiner 在油管上分享了一段视频,介绍了为 EVGA RTX 3080 Ti 显卡刷入 RTX 3090 vBIOS 的可行性。据说其它厂牌的 RTX 3080 Ti(LHR)显卡亦可尝试刷入相同的固件,从而获得高达 21% 的加密货币挖矿性能提升。但其实早在 2021 年 12 月 13 日,外媒就已报道过针对 RTX 3080 Ti 的算力破解操作。以戴尔和 Alienware 的 RTX 3080 Ti 显卡为例,据说强刷 vBIOS 后的 ETH 挖矿算力可提升 20 MH/s

  • RTX 3050显卡挖矿性能被NVIDIA一刀切了 回本需700天

    下周RTX 3050显卡就要上市开卖了,售价1899元的它可能是这一年来最受期待的光追显卡,甚至一些矿工也蠢蠢欲动,然而NVIDIA已经动手阉割了RTX 3050显卡的挖矿能力,回本可能需要700天时间...但是原价买到RTX 3050对大部分人来说是不可能的,如果加价到350美元,那么回本需要700天,差不多要两年时间了,而且ETH今年6月份就会大升级到2.0版,显卡挖矿即将失去意义,没必要了......

  • 50多款电脑支持ARC游戏显卡 Intel:我们要重塑显卡市场

    在今天的CES展会上,Intel发布的新品重点是数十款12代酷睿桌面版及移动版,不过更应该关注的是Intel的ARC显卡,这是1998年之后Intel再次进军独显市场,他们喊出的口号是重塑显卡市场格局,这次AMD及NVIDIA要小心了。只不过这次CES展会上Intel没有公布ARC显卡的具体规格信息,所以大家对ARC独显的性能还是一头雾水,Intel今天宣布的信息主要是他们得到了厂商的支持。根据Intel所说,已经有50多款笔记本、台式机产品江湖搭载Arc锐炫?

  • RTX 30公版显卡计划涨价:最多100欧元 买显卡更难了

    据有国外零售商称,随着加密货币的热潮褪去,以及1月份显卡供应情况好转,NVIDIA正计划提高部分电商客户的公版显卡价格...相比之前,RTX 3060 Ti涨价10欧元(约72元人民币)、RTX 3070和RTX 3070 Ti涨价30欧元(约216元人民币)、RTX 3080涨价40欧元(约288元人民币)、RTX 3080 Ti涨价70欧元(约504元人民币)...涨价最高的是RTX 3090,涨幅高达100欧元(约720元人民币)......

  • 云之家十问“指尖”上的新疆味道

    3、如何让大家喜欢上这个平台,了解这个平台呢?在云之家发起有奖竞赛的运营推广,马上可用,自带社交的属性... 在云之家上集成CRM,让业务移动化...以前,因为地域范围广,外出累计的报销单领导处理和审批的不及时,给财务和报销者带来了不便...云之家集成了天康生物 21 个自建应用, 在云之家上发布了 215 篇原创公共号文章,创建了 497 个审批模板,覆盖了 5469 个注册用户, 汇报了 23618 次工作,审批了 196293 条流程,形成了1.09T的知识沉淀……......

  • 虹软3DTOF赋能智能手机、智能汽车及IoT领域实现技术升级

    作为2022年的“开年之作”,这是英飞凌大中华区历史上首次举办的同时覆盖万物互联、未来出行、低碳节能三大领域的跨行业生态大会,全方位展示了英飞凌生态在上述领域的深度布局与厚积薄发......

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天