您当前的位置:首页 > 电脑百科 > 软件技术 > 软件技术

还在用工具激活系统?小心被当做矿机

时间:2020-06-29 11:53:56  来源:  作者:

一、windows Loader

捕获到一个伪装成激活软件WindowsLoader的病毒样本。经分析,该样本并没有激活功能,其主要功能是安装广告软件以及挖矿程序。

挖矿程序会拉起系统进程并在其中注入挖矿代码,并循环监控taskmgr.exe进程,如果检测到 taskmgr.exe进程则终止挖矿,使得受害者比较难以察觉。

还在用工具激活系统?小心被当做矿机

 

1 病毒母体 病毒母体图标伪装成Windows Loader:

还在用工具激活系统?小心被当做矿机

 

其实是用CreateInstall制作的安装包:

还在用工具激活系统?小心被当做矿机

 

安装界面:

还在用工具激活系统?小心被当做矿机

 

释放如下几个文件到C:Program Files (x86)KMSPico 10.2.1 Final目录并运行脚本 WINLOADER_SETUP.BAT。

还在用工具激活系统?小心被当做矿机

 

WINLOADER_SETUP.BAT依次运行WindowsLoader.exe、
Registry_Activation_2751393056.exe和 activation.exe。

还在用工具激活系统?小心被当做矿机

 

WindowsLoader.exe与
Registry_Activation_2751393056.exe都是广告软件,activation.exe则是挖矿程序。

2 WindowsLoader.exe

首先是WindowsLoader.exe安装界面:

还在用工具激活系统?小心被当做矿机

 

会下载并安装RunBooster:

还在用工具激活系统?小心被当做矿机

 

安装RunBooster服务:

还在用工具激活系统?小心被当做矿机

 

RunBoosterUpdateTask升级任务计划:

还在用工具激活系统?小心被当做矿机

 

RunBooster的抓包行为:

还在用工具激活系统?小心被当做矿机

 

3 Registry_Activation_2751393056.exe


Registry_Activation_2751393056.exe安装界面:

还在用工具激活系统?小心被当做矿机

 

功能存在问题,下载的exe文件没有带后缀名:

还在用工具激活系统?小心被当做矿机

 

4 activation.exe 首先在Local目录下新建cypjMERAky文件夹并将自己拷贝到下面。

还在用工具激活系统?小心被当做矿机

 

添加注册表自启动项。

检测是否存在taskmgr.exe进程。

还在用工具激活系统?小心被当做矿机

 

如果taskmgr.exe进程不存在则拉起系统进程wuApp.exe,参数为" -a cryptonight -o stratum+
tcp://xmr.pool.minergate.com:45560 -uminepool@gmx.com -p x -t 2"。

还在用工具激活系统?小心被当做矿机

 

将挖矿程序注入到wuapp.exe进程。

还在用工具激活系统?小心被当做矿机

 

挖矿程序为开源的cpuminer-multi 1.2-dev。

还在用工具激活系统?小心被当做矿机

 

进入循环,守护注册表自启动项,并检测taskmgr.exe进程,如果检测到则终止wuapp.exe。

还在用工具激活系统?小心被当做矿机

 

二、小马激活

"小马激活"病毒的第一变种只是单纯地在浏览器快捷方式后面添加网址参数和修改浏览器首页的注册表项,以达到首页劫持的目的。由于安全软件的查杀和首页保护功能,该版本并没有长时间流行太长时间。其第二变种,在原有基础上增强了与安全软件的对抗能力。

由于其作为"系统激活工具"具有入场时间较早的优势,使用驱动与安全软件进行主动对抗,使安全软件无法正常运行。在其第三个变种中,其加入了文件保护和注册表保护,不但增加了病毒受害者自救的难度,还使得反病毒工程师在处理用户现场时无法在短时间之内发现病毒文件和病毒相关的注册表项。其第四个变种中,利用WMI中的永久事件消费者(ActiveScriptEventConsumer)注册恶意脚本,利用定时器触发事件每隔一段时间就会执行一段VBS脚本,该脚本执行之后会在浏览器快捷方式后面添加网址参数。该变种在感染计算机后,不会在计算机中产生任何文件,使得病毒分析人员很难发现病毒行为的来源,大大增加了病毒的查杀难度。通过如下表格我们可以更直观的了解其发展过程:

还在用工具激活系统?小心被当做矿机

 

通过我们近期接到的用户反馈,我们发现了"小马激活"病毒的新变种。该变种所运用的对抗技术十分复杂,进一步增加了安全软件对其有效处理的难度,甚至使得病毒分析人员通过远程协助处理用户现场变得更困难。这个"小马激活"病毒的最新变种运行界面如下:

还在用工具激活系统?小心被当做矿机

 

2 样本分析

该病毒释放的驱动文件通过VMProtect加壳,并通过过滤驱动的方式拦截文件系统操作(图2),其目的是保护其释放的动态库文件无法被删除。通过文件系统过滤驱动,使得系统中的其他进程在打开该驱动文件句柄时获得的是tcpip.sys文件的句柄,如果强行删除该驱动文件则会变为删除tcpip.sys文件,造成系统无法正常连接网络。我们通过下图可以看到火绒剑在查看文件信息时,读取的其实是tcpip.sys文件的文件信息。由于此功能,使得病毒分析人员无法在系统中正常获取该驱动的样本。

还在用工具激活系统?小心被当做矿机

 

该驱动通过注册关机回调在系统关机时该驱动会将自身在%SystemRoot%System32Drivers目录重新拷贝成随机名字的新驱动文件,并将驱动信息写入注册表,以便于下一次时启动加载。在驱动加载之

后,其会将locc.dll注入到explorer.exe进程中。该驱动对locc.dll文件也进行了保护,当试图修改或者删除该动态库时,会弹出错误提示"文件过大"。

还在用工具激活系统?小心被当做矿机

 

当病毒的驱动将locc.dll注入到explorer.exe进程后会执行首页劫持相关逻辑。通过火绒剑的内存转储,我们可以看到该病毒锁定的所有网址。

l l l l l l l l l l l l l l l l l

通过抓取上述网址中的网页信息,我们可以发现上述网址中存放的其实是一个跳转页。通过使用跳转页面,病毒作者可以灵活调整计费链接和推广网址,并且对来自不同浏览器的流量进行分类统计。

还在用工具激活系统?小心被当做矿机

 

三、解决方案

(1) 不从不明网站下载软件,不要点击来源不明的邮件以及附件;

(2) 及时给电脑打补丁,修复漏洞;

(3) 尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;

(4) 安装专业的终端/服务器安全防护软件,深信服EDR能够有效查杀该病毒。

探讨渗透测试及黑客技术,请关注并私信我。#小白入行网络安全# #安界网人才培养计划#



Tags:激活系统   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、Windows Loader捕获到一个伪装成激活软件WindowsLoader的病毒样本。经分析,该样本并没有激活功能,其主要功能是安装广告软件以及挖矿程序。挖矿程序会拉起系统进程并在其...【详细内容】
2020-06-29  Tags: 激活系统  点击:(220)  评论:(0)  加入收藏
▌简易百科推荐
现在很多手机的摄像头都会比电脑的高,因此有不少小伙伴想要在有些时候用手机摄像头代替电脑摄像头,那么具体应该如何操作呢?下面就和小编一起来看看连接手机摄像头的方法吧。更...【详细内容】
2021-12-28  装机吧    Tags:Win10   点击:(2)  评论:(0)  加入收藏
今天教大家通过windows的CMD终端查看WIFI密码 使用管理权限打开CMD 查看本机连接过WIFI名称netsh wlan show profiles 查询某一个WIFI的密码比如这里我想查询猪猪侠的...【详细内容】
2021-12-27  吉祥同学学安全    Tags:wifi密码   点击:(1)  评论:(0)  加入收藏
从本质上来讲,PE系统最广泛的用途只是用来安装系统。通过其内置的Ghost软件来调用第三方的GHO系统镜像来完成系统的安装。从表面来看,最终的系统是否纯净、是否安全,与Gho镜像...【详细内容】
2021-12-27  u盘装系统    Tags:pe工具   点击:(3)  评论:(0)  加入收藏
Safari是苹果在iPhone和iPad上的默认网络浏览器。虽然我们天天都在使用,但是,你是否深入研究了Safari的所有功能和设置?"无痕浏览"、"阅读器"视图和下载文件等标准选项只是其...【详细内容】
2021-12-16  趣玩公社    Tags:Safari   点击:(21)  评论:(0)  加入收藏
《开源精选》是我们分享Github、Gitee等开源社区中优质项目的栏目,包括技术、学习、实用与各种有趣的内容。本期推荐的是一个开源的 HTML5 视频播放器插件——MuiP...【详细内容】
2021-12-16  GitHub精选    Tags:插件   点击:(23)  评论:(0)  加入收藏
给电脑安装软件,最让人担心的就是安装到“拖家带口”的,而这样的手法正是国产软件惯用的!全家桶自动安装、软文弹窗等等,这些让我们讨厌的却是软件的直接收入来源。 那么在你安...【详细内容】
2021-12-15  老毛桃winpe    Tags:软件   点击:(18)  评论:(0)  加入收藏
不知道你是否遇到过这么一种情况:在一个A4大小的图框画一个接近满框的图形,在打印的时候却发现图形很小根本不符合模型空间的实际情况。看似明显是比例问题,但又不知道究竟是什...【详细内容】
2021-12-14  设计师小仁君    Tags:CAD   点击:(21)  评论:(0)  加入收藏
哈喽大家好! 前几天一个朋友向我疯狂吐槽。 快到年底了,公司要统计年度数据。 需要把一月到十二月份,十二张表格的数据,全部汇总到一个表格内。 这样的数据汇报每年都会有,每到年...【详细内容】
2021-12-14  秋叶Excel    Tags:Excel   点击:(23)  评论:(0)  加入收藏
我发现最近不少小叶子的留言都和 Excel 相关,我寻思是时候出一期解决 Excel 疑难杂症的小合集了。于是毛毛在众多问题中,挑了三个被问次数最多的有关 Excel 的问题,今天就来给...【详细内容】
2021-12-14  叶PPT    Tags:Excel   点击:(30)  评论:(0)  加入收藏
大家好,我是Stark-C。油猴简介【油猴】一款免费的浏览器扩展和最为流行的用户脚本管理器,它是一个附加组件(扩展程序),让用户安装一些脚本使大部分HTML为主的网页改变得更方便易...【详细内容】
2021-12-13  什么值得买    Tags:油猴   点击:(46)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条