首页 > 传媒 > 关键词 > 瑞星最新资讯 > 正文

瑞星率先捕获挖矿木马“DTLMiner” 中毒后仿佛闻到了烧显卡的味道

2019-03-29 10:39 · 稿源:站长之家用户投稿

近日,瑞星安全专家率先监测到挖矿木马病毒“DTLMiner”最新变种,新版本病毒更换了IP和域名,并且增加了一个挖矿模块,新版挖矿模块会下载显卡驱动,利用显卡进行挖矿,大幅提升挖矿速度的同时会导致系统卡顿,显卡发热。目前,瑞星云安全系统显示,已有数千用户感染该挖矿病毒。

下载后文件名MD5 功能

%appdata%\Microsoft\cred.ps1E05827E44D487D1782A32386123193EFPowershell攻击模块

%temp%\mn.exe66EA09330BEE7239FCB11A911F8E8EA3 挖矿模块

%temp%\4- 8 个字符的随机名称CDF6384E4CD8C20E7B22C2E8E221F8C8python编写的攻击模块

%temp%\ddd.exe8A2042827A7FCD901510E9A21C9565A8 新增挖矿模块

表:病毒下载的各模块

新版挖矿木马病毒“DTLMiner”不仅会导致中毒机器CPU占用率过高,机器卡顿,同时还会导致显卡占用率过高,显卡发热等现象,严重影响用户正常工作。目前瑞星ESM已能成功查杀该病毒的最新版本。

图:瑞星ESM查杀截图

“DTLMiner”挖矿木马的黑历史:

2018 年 12 月,“驱动人生”的升级模块被不法分子利用传播挖矿木马病毒“DTLMiner”,短期内感染数万台计算机。

2019 年 2 月、 3 月又分别进行了更新,增加了数字签名与弱口令攻击,攻击面进一步增大,同时又躲避查杀。

此次瑞星截获的“DTLMiner”已经是第 5 次变种。

针对该木马病毒对企业网络安全带来的潜在威胁,瑞星安全专家建议:

1、安装永恒之蓝漏洞补丁,防止病毒通过漏洞植入;

2、系统和数据库不要使用弱口令账号密码;

3、多台机器不要使用相同密码,病毒会抓取本机密码,攻击局域网中的其它机器;

4、安装杀毒软件,保持防护开启。

技术分析

新版挖矿木马病毒“DTLMiner”通过漏洞和弱口令攻击植入,创建快捷方式开机自启动。

图:病毒创建的快捷方式

快捷方式运行之后,执行flashplayer.tmp。此文件是一个脚本,使用JS 调用PowerShell脚本下载。

图:flashplayer.tmp 内容

下载的文件就是下载模块,此模块会下载攻击模块和挖矿模块。下载模块使用多层混淆。

图:多层混淆的下载模块

最终解密出下载脚本,脚本运行后首先获取本机网卡mac地址,获取本机安装的杀毒软件信息。

图:获取本机网卡和杀软信息

之后随机延时一段时间。

图:延时一段时间

判断配置文件是否存在,如果不存在则下载对应样本。

图:根据配置文件下载对应样本

1)如果配置文件k1.log不存在,则创建计划任务持久驻留。

根据用户权限不同,创建的计划任务不同,如果当前用户是管理员权限则访问:http://v.y6h.net/g?h + 当前日期,如果当前用户非管理员权限则访问:http://v.y6h.net/g?l + 当前日期。

图:下载更新脚本

计划任务的功能是访问此网址,使用PowerShell执行获取到的内容。目前此网址处于无法访问状态,攻击者随时可以开启,下发任意脚本。

2)如果配置文件kkkk2.log不存在,则下载new.dat保存为cred.ps1,内容是混淆的PowerShell脚本。

图:下载cred.ps1

判断文件大小是否正确,如果正确则创建计划任务定时执行cred.ps1。

图:执行cred.ps1

cred.ps1 脚本被多层混淆。

图:多层混淆的cred.ps1 脚本

解密后可以看到,此版本是V5。

图:病毒版本

此模块主要还是为了攻击。

图:cred.ps1 脚本主要功能

调用永恒之蓝漏洞攻击。

图:永恒之蓝漏洞攻击

eb7 函数针对win7 和win2008。

图:eb7 函数

eb8 函数针对win8 和win2012。

图:eb8 函数

SMB弱口令攻击。

图:SMB弱口令

完整的密码列表如下,如果使用以下密码,建议尽快修改。

123456","password","PASSWORD","123.com","admin@123","Aa123456","qwer12345","Huawei@123","123@abc","golden","123!@#qwe","1qaz@WSX","Ab123","1qaz!QAZ","Admin123","Administrator","Abc123","Admin@123","999999","Passw0rd","123qwe!@#","football","welcome","1","12","21","123","321","1234","12345","123123","123321","111111","654321","666666","121212","000000","222222","888888","1111","555555","1234567","12345678","123456789","987654321","admin","abc123","abcd1234","abcd@1234","abc@123","p@ssword","P@ssword","p@ssw0rd","P@ssw0rd","P@SSWORD","P@SSW0RD","P@$$w0rd","P@$$word","iloveyou","monkey","login","passw0rd","master","hello","qazwsx","password1","qwerty","baseball","qwertyuiop","superman","1qaz2wsx","fuckyou","123qwe","zxcvbn","pass","aaaaaa","love","administrator"

图:cred.ps1 攻击模块内置的弱口令列表

攻击成功后,调用CopyRun函数,将 FlashPlayer.lnk和flashplayer.tmp植入被攻击机器,被攻击机器又会开始新的一轮循环,下载病毒攻击其它机器。

图:植入病毒

3)如果配置文件333.log不存在,则下载mn.dat,命名为mn.exe,此模块就是之前的挖矿模块。

图:下载mn.exe

4)如果配置文件kk4.log不存在,则下载ii.da,并使用4- 8 位随机字母命名,例如 hjqgbs.exe,此模块就是之前的攻击模块,使用Python开发,使用pyinstaller打包。

图:下载ii.dat 并随机命名

判断下载的文件大小是否正确,如果正确则创建计划任务运行此exe,根据不同的权限使用不同的方法运行,如果是管理员权限,直接创建计划任务运行此exe。

图:运行下载的exe

如果非管理员权限,则释放run.vbs脚本,将run.vbs脚本设置为计划任务,通过脚本运行此exe。

图:调用vbs脚本运行下载的exe

释放的run.vbs脚本。

图:vbs脚本内容

此exe仍然使用窃取的数字签名。

图:窃取的数字签名

解包后可以看到Python脚本。

图:Python脚本

脚本使用了base64 编码。

图:base64 编码的脚本

解码后得到病毒的Python代码,代码中的关键字符串也进行了混淆。

图:混淆的代码

图:混淆的代码

去混淆后,可以看到最终的病毒代码,病毒最开始会通过内存映射,检测当前版本。首先打开内存映射读取内容,如果没有获取到映射的内存,则创建内存映射将自身的路径+“**”+当前版本号+“$$”写入到新创建的内存映射中。

图:内存映射

如果获取到内存映射,则解析映射中的版本号和内存映射中的文件路径,计算MD5。如果当前程序的MD5 和内存映射中路径对应的文件MD5 相同,则不执行操作。

图:计算MD5

否则判断当前版本是否大于内存映射中的版本,如果大于结束之前版本的进程,当前程序复制过去。

图:判断版本

之后就是攻击传播的部分,病毒内置的攻击IP段、弱口令账号密码列表。

图:弱口令列表

弱口令密码又进行了扩充,完整的密码如下,如果当前计算机或者数据库软件使用了此列表中的密码,建议尽快修改密码。

'123456','password','qwerty','12345678','123456789','123','1234','123123','12345','12345678','123123123','1234567890','88888888','111111111','000000','111111','112233','123321','654321','666666','888888','a123456','123456a','5201314','1qaz2wsx','1q2w3e4r','qwe123','123qwe','a123456789','123456789a','baseball','dragon','football','iloveyou','password','sunshine','princess','welcome','abc123','monkey','!@#$%^&*','charlie','aa123456','Aa123456','admin','homelesspa','password1','1q2w3e4r5t','qwertyuiop','1qaz2wsx','sa','sasa','sa123','sql2005','1','admin@123','sa2008','1111','passw0rd','abc','abc123','abcdefg','sapassword','Aa12345678','ABCabc123','sqlpassword','1qaz2wsx','1qaz!QAZ','sql2008','ksa8hd4,m@~#$%^&*()','4yqbm4,m`~!@~#$%^&*(),.; ','4yqbm4,m`~!@~#$%^&*(),.;','A123456','database','saadmin','sql2000','admin123','p@ssword','sql123','sasasa','adminsa','sql2010','sa12345','sa123456','saadmin','sqlpass'

图:Python攻击模块内置的密码列表

病毒仍然会抓取密码,因此局域网中多台机器使用相同密码,一台机器中毒,也会导致其它机器被攻击。

图:抓取密码

永恒之蓝漏洞攻击。

图:永恒之蓝漏洞

开启共享,将病毒发送过去。

图:发送病毒

SMB弱口令攻击。

图:SMB弱口令攻击

MS SQL数据库弱口令攻击。

图:MS SQL弱口令攻击

5)如果配置文件kk5.log不存在,则下载ddd.dat,命名为ddd.exe,此模块为新版挖矿模块,会下载显卡挖矿相关的驱动。

图:下载挖矿模块ddd.exe

挖矿模块运行后界面。

图:挖矿模块界面

挖矿模块除了使用CPU挖矿之外,还会下载显卡挖矿相关的驱动,使用显卡进行挖矿。

图:下载的显卡驱动

6)最后访问控制服务器,将本机状态信息信息上传到控制服务器,便于统计感染状态。

统计的信息包括本地网卡mac地址、安装的杀毒软件、系统版本、感染标志、当前用户组、当前用户名等。

图:统计信息

IOC

md5:

17891737D9970812FE875D0B955B0E15

7441A59ABB6B4C96D0EAC70D884E8008

8A2042827A7FCD901510E9A21C9565A8

CDF6384E4CD8C20E7B22C2E8E221F8C8

E05827E44D487D1782A32386123193EF

3E96A29E82513C5859D5E508A75FA974

66EA09330BEE7239FCB11A911F8E8EA3

Domain:

mm.abbny.com

mm.beahh.com

lplp.beahh.com

lplp.abbny.com

lpp.beahh.com

lpp.abbny.com

ip:

128.199.64.236

27.102.107.137

27.102.118.147

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • Mercurity.Finance:NFT与经济体系相结合

    在区块链市场中,以2017年末的区块链游戏《CryptoKitties》为起始点,借着《CryptoKitties》的火爆,当时来玩这款游戏的人络绎不绝,甚至一度造成以太坊区块链的拥堵。从此之后,链游、NFT的概念迅速蹿红。NFT(Non-fungible Token)意为非同质化代币,简单理解就是不能复制、不可替代、具有唯一属性的数字资产。目前常见的NFT发行标准有ERC-721、ERC-1155、ERC-998、BCX-NHAS1808等。上述的《CryptoKitties》就是采用了ERC-721的方式在游?

  • PrestoSQL宣布更名为Trino Facebook注册"Presto"商标

    近日,Presto创始团队宣布正式将 PrestoSQL 更名为 Trino。而原因也很简单,因为Facebook 注册"Presto"商标,使得PrestoSQL不能再使用原有的名字。

  • 超越 PyTorch 和 TensorFlow,这个国产框架有点东西

    在深度学习领域,PyTorch、TensorFlow 等主流框架,毫无疑问占据绝大部分市场份额,就连百度这样级别的公司,也是花费了大量人力物力,堪堪将 PaddlePaddle 推入主流。在这样资源主导、肉食者谋的竞争环境下 ,一家国产深度学习框架的创业公司 OneFlow 出现了。它以处理大规模模型见长,甚至今年将全部源码和实验对比数据,在 GitHub 进行了开源。质疑不可避免的出现了:OneFlow 这种擅长解决大模型训练的新架构有必要吗?深度学习

  • Twitter发布《迈向全球:2020年Twitter中国出海领导品牌报告》

    携手英国经济学人集团旗下 (E) BrandConnect,助力中国品牌共创2021海外新增长2020年12月28日,新加坡 —— 今日,全球最大的公众对话平台Twitter发布《迈向全球:2020年Twitter中国出海领导品牌报告》(以下简称《报告》),并公布"2020年Twitter中国出海领导品牌榜单"。《报告》基于最新Twitter大数据、行业调研、Twitter专家见解和品牌成功案例,多维度解读后疫情时代海外市场及用户需求的变动,并结合行业趋势预判提出营销行?

  • 变革HCI软件!Rancher推出全新开源项目Harvester

    2020 年 12 月 17 日,业界应用最为广泛的Kubernetes管理平台创建者Rancher Labs(以下简称Rancher)宣布推出全新开源软件Harvester,一个通过Kubernetes构建的超融合基础架构(HCI)软件。Harvester在裸机服务器上提供完全集成的存储和虚拟化功能,无需拥有Kubernetes相关知识,即可轻松上手。值得关注的是,Harvester是一个完全由Rancher中国研发团队设计和开发的开源软件,也是Rancher中国研发团队出色技术实力的有力佐证。Harv

  • Twitter发布声明:永久封禁特朗普个人账号

    Twitter 发布声明:“由于存在进一步煽动暴力行为的风险“,已‘永久封停’特朗普推特帐户。”

  • 韩国VR逃脱游戏《SILENT TURN》即将上市 五大亮点令人期待

    一款使用VIVE VR设备,可以感受到极限恐惧的新游戏即将上市。目前,市场上虽然有很多VR游戏,但大部分都是用来消磨时间的休闲游戏,而本次韩国YOU CAN STAR公司推出的《SILENT TURN》是一款用VR设备就能感受到极限恐惧,同时又能体验到合作逃脱乐趣的游戏。给你一场虚拟世界的密室逃脱体验。韩国YOU CAN STAR公司研发的《SILENT TURN》还未上市已经获得很多玩家的期待,和2017年发行的生化危机7一样,恐怖、惊悚类游戏与VR结合时,

  • Twitter冻结特朗普账户12小时,强制删除违规推文

    Twitter改变了其长期以来的政策,冻结了美国推特账户总统,并强制删除了三条违规推文。Twitter方面写道:“由于华盛顿特区前所未有的持续暴力局势,我们要求删除今天早些时候发布的@realDonaldTrump的三条推文,这些推文反复严重违反了我们的公民诚信政策。”

  • 英伟达GeForce RTX 3060 Ultra曝光,将于下周正式发布

    英伟达计划在下周举行GeForce硬件活动,预计该公司将发布台式机和笔记本显卡产品。根据过去曝光的信息,英伟达计划至少发布RTX3050和RTX3060显卡,同时还会有笔记本平台上的Max-P和Max-Q型号。

  • 科唛Traxshot正式发布,玩法多多,等你解锁!

    科唛作为国产麦克风品牌,越来越被广大群众接受认可。而最近科唛又推出了新品:Traxshot ,回顾往期科唛发布的麦克风就可以看出,科唛公司一直不断追求创新,而这次的Traxshot同样是给大家带来了很多的惊喜。科唛Traxshot是一款创新型枪式麦克风,有着独特的结构设计,它在保留枪麦特点的基础上又增添了许多新功能,与同期产品对比来看,无论是性能上还是拾音上都是一款让人眼前一亮的麦克风产品。Traxshot产品亮点革命性的声学设计——首创

  • GRL上海成为全球首批提供Thunderbolt™ 4全品项认证的授权实验室

    GRL上海实验室(Granite River Labs)于2020年5月取得Intel?授权,成为全球第一批官方认可并提供Thunderbolt? 4全品项认证的测试实验室,即日起可针对Host、Device等各类产品,协助广大厂商在国内提供认证测试服务。Thunderbolt?4技术架构与USB4? 协议规范本质上一致,皆以Thunderbolt?3架构为基础,两者的最高传输速率皆可达40Gbps (20G x2),支援Thunderbolt?3及USB4?。主要是将多种协议组合到相同信号通道,包含USB3.2、Displ

  • RTFChain | 实现区块链上的医疗服务

    目前我国的国民医疗健康管理过程中,数据的共享和安全性是一直以来难以解决的问题。具体表现在个人的医疗数据、健康数据在体检机构、医疗机构、基层社区、医药企业等各类型机构之间是不可以分享的,造成这种局面的原因既有数据技术的壁垒问题,也有出于个人隐私泄露风险的问题。 针对以上难题,RTFChain 团队利用区块链技术在医疗健康领域中实现的四个应用: 1、电子健康病例 用户在不同医院就诊时的记录是被保存在各医院内的,不

  • Twitter计划于2021年推出新的验证政策

    据TNW报道,Twitter将于明年1月20日启动新的验证政策,届时不活跃的账户和不符合新要求的账号将被移除验证徽章,以此判别自动账户和普通用户。

  • 美国权威开源安全机构 WhiteSource 完成对 Mintegral SDK 的安全审计

    据悉,移动广告平台 Mintegral 的 SDK 已通过美国权威第三方开源安全平台 WhiteSource 的开源安全审计。WhiteSource 的审计报告显示,Mintegral SDK 开源代码的安全水平较高,可以为合作伙伴提供安全、可信赖的服务。开源安全是数据安全的重要基础回顾过去两年,数据安全问题愈发凸显,而确保数据安全涉及到企业安全管理制度、技术系统、合规性等多方面。其中,互联网企业的应用代码安全是保障数据安全的重要基础。据了解,Mintegral 在今

  • 谷歌测试新搜索功能,可聚合TikTok和Instagram短视频

    随着短视频在国外越来越受欢迎,谷歌搜索也正进行调整以满足用户搜索需求。据悉,谷歌正在测试一项新功能,让谷歌移动APP聚合Instagram和TikTok视频,此举可能有助于该公司留住搜索社交视频娱乐的用户,避免他们完全离开谷歌的平台。

  • Instagram 开始支持由 iPhone 12 Pro 拍摄的 ProRAW 照片

    据MacRumors报道,Instagram日前推出了对苹果新推出的ProRAW格式照片的支持,这些照片由iPhone12和iPhone12Pro Max拍摄生成。

  • 深信服连续十年入选Gartner SWG 魔力象限

    在全球领先的研究顾问公司Gartner发布的2020 Gartner SWG魔力象限中,深信服再次被评为细分市场主导者(NICHE PLAYERS)。值得注意的是,这是深信服第十年入选Gartner SWG魔力象限。严格来说,2011- 2020 年,连续十年进入Gartner SWG魔力象限的中国厂商,只有深信服。十年来,深信服初心未变,在全网行为管理AC的投入始终顺应潮流紧跟用户需求,想用户之所想,坚持“持续创新,全情投入”,帮助用户实现有效易用的行为安全一体化管?

  • togocareer为留学生匹配优质实习,快速刷新求职履历

    随着留学归国就业人数不断增长,留学生归国就业受毕业时间、低于等因素限制,难以适应国内的求职节奏,因此难度不断增加,留学生已逐渐告别“留学红利”。 Togocareer——一站式职前教育服务机构,已成为越来越多留学生的求职选择,togocareer能全方位快速提升求职能力,解决就业难题,助力通关心仪名企。留学生远在海外,不了解国内各行业发展现状,对求职流程及应聘信息缺乏认知,求职过程中自身优势不容易发挥出来,成为大多数?

  • TriPollar代理商向李佳琦致歉:对产生的非议感到抱歉

    近日,针对“李佳琦所售美容仪涉虚假宣传”一事,该美容仪品牌TriPollar国内代理商“南京美洲豹电子商务有限公司”回应称,李佳琦直播的内容与该风波毫无关系。但是后续很多报道都是将李佳琦与此事关联,并因为李佳琦的个人的社会影响力而迅速传播,直至推上微博热搜。后续的很多报道都直接利用这个风波给李佳琦扣上了“虚假宣传”的帽子,我们对李佳琦及其团队因为这个原因而受到了不应有的非议感到非常抱歉。

  • SensorTower:苹果App Store去年收入超过700亿美元

    据应用程序分析公司SensorTower消息, 2020 年全球应用程序消费额超过 1000 亿美元,其中苹果App Store去年收入超过 700 亿美元。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签