近日,江民安全實驗室監測到了一種新型“門羅幣”挖礦病毒,利用“永恆之藍”(ms17-010)漏洞組建殭屍網絡進行挖礦牟利,感染後的主機同時會嘗試感染其他主機,最終使得整個網絡成為一片殭屍網絡。
病毒名稱: |
Trojan.EquationDrug.ky |
病毒類型: |
挖礦程序,木馬,蠕蟲 |
MD5 : |
7D3CF6BCE43A115399F0DAAA4B425417 |
SHA1 : |
611B8BDBA97FBF042B3A35277DD641FEE753AD01 |
文件類型: |
PE EXE |
文件大小: |
5,251,584 字節 |
傳播途徑: |
ms17-010 漏洞傳播 |
影響系統: |
未安裝ms17-010漏洞補丁的全版本Windows系統 |
近期,江民安全實驗室發現有攻擊者利用ms17-010(永恆之藍)漏洞組建殭屍網絡進行門羅幣挖礦操作,該病毒將主模塊通過自定義的加密方式存放到資源節進行靜態免殺,同時在其模塊內部還直接包含了NSA洩露的ms17-010漏洞利用包,最終利用該漏洞進行病毒的傳播感染。該病毒還包含了更新模塊,實現了HTTP和TCP通信,可接受遠程服務器的命令和數據,從而執行任意代碼。被感染的主機還會安裝開源Web服務器模塊mongoose用於感染過程中傳輸關鍵的二進制加密文件EnrollCertXaml.dll,感染部署過程中會進行有針對性的清理工作,用於清理之前感染的門羅幣挖礦程序,從而重新感染部署該病毒程序。
感染流程圖
感染該病毒後,用戶主機將會被黑客用於挖掘門羅幣從而使系統使用性能降低。感染後的主機將完全被控制,每隔0.5小時病毒會與遠程C&C服務器進行通信,用於更新下載感染部署模塊,同時黑客可以通過該病毒遠程執行任意代碼,可以遠程下載任意文件並執行。感染後的主機同時會嘗試感染其他主機,最終使得整個網絡成為一片殭屍網絡。
釋放加密二進製文件EnrollCertXaml.dll。
釋放主模塊感染部署程序wmassrv.dll。
釋放病毒運行過程中的感染配置文件WMASTrace.ini。
嘗試刪除系統中之前感染的門羅幣挖礦組件程序。
釋放壓縮包文件Crypt,解壓後內部包含NSA洩露的漏洞利用包。
將釋放的wmassrv.dll註冊為服務並啟動,服務名為wmassrv。
釋放系統中之前感染殭屍網絡程序創建的互斥體。
創建新的進程TasksHostServices.exe用於門羅幣挖礦操作。
創建新的進程spoolsv.exe用於利用ms17-010漏洞傳播感染。
創建註冊表:
HKLM\SYSTEM\CurrentControlSet\Services\wmassrv。
HKLM\SYSTEM\CurrentControlSet\Services\wmassrv\Parameters。
設置註冊表:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs。
HKLM\System\CurrentControlSet\services\wmassrv\Description。
HKLM\System\CurrentControlSet\services\wmassrv\Parameters\ServiceDll。
嘗試與sand.lcones.com和plam.lcones.com域名進行通信。
嘗試訪問域名內容sand.lcones.com/resource。
嘗試下載域名內容plam.lcones.com/modules.dat。
嘗試與域名tecate.traduires.com進行http通信。
嘗試與域名split.despcartes.tk進行tcp通信。
在Windows服務管理中心停止並卸載病毒主程序服務wmassrv,並刪除病毒主程序C:\Windows\System32\wmassrv.dll。
刪除傳播過程中的關鍵模塊C:\Windows\System32\EnrollCertXaml.dll。
刪除傳播感染配置文件C:\Windows\System32\WMASTrace.ini。
刪除釋放的挖礦程序C:\Windows\System32\TasksHostServices.exe。
刪除釋放的傳播模塊C:\Windows\SpeechsTracing\spoolsv.exe。
刪除釋放的NSA漏洞利用包,即C:\Windows\SpeechsTracing\Microsoft\目錄下所有文件。
刪除病毒配置的註冊表項:
HKLM\SYSTEM\CurrentControlSet\Services\wmassrv。
1、建議用戶及時打上ms17-010漏洞,防止利用此漏洞的病毒進行大肆傳播。
2、建議用戶安裝防毒軟體並開啟檔案監控,使此類型攻擊在檔案落地瞬間即被查殺,從而保證用戶不被惡意代碼感染。
3、建議用戶保持良好的上網習慣,不要隨意打開來路不明的應用程序。
4、建議用戶對於可疑的文檔文件使用防毒軟體掃描後再打開,防止惡意代碼利用文檔漏洞進行傳播運行。
5、如果平時不使用文件共享操作,建議用戶關閉445 Port (端口)杜絕此類型漏洞危害。 |