作者：启明星辰ADLab

一、背景

启明星辰ADLab近日发现了大量知名软件的安装程序被植入挖矿病毒，该病毒背后的黑客试图通过软件共享论坛等社交渠道来发布受感染的软件安装包，我们称该恶意软件为“安装幽灵”挖矿病毒。

攻击者在多个论坛“共享”了捆绑有“安装幽灵”挖矿病毒的各类流行应用的破解版本，其中包括“Malwarebytes”、“CCleaner Professional”和“Windows 10 Manager”等知名应用共计26种，连同不同的版本共发布有99个之多，功能涵盖系统优化、软件卸载、光盘刻录、杀毒、系统激活、资源下载等。这些应用不乏来自知名公司，如Google、Piriform和Malwarebytes等，尤其像“CCleaner Professional”、“Speccy Professional Business Technician”等知名应用已被数百万计的家庭和商业用户使用，并已安装在世界各地的多个国家。

因为这些应用绝大多数为付费软件，所以互联网上存在有大量该类应用的破解版本，这也正好满足了一部分用户的使用需求。不过天下没有免费的午餐，用户在享受“免费”实惠的同时，殊不知这份实惠早已在暗中标好了价格。

二、感染流程

“安装幽灵”挖矿病毒的感染流程如图1所示，攻击者先将包含有“安装幽灵”的破解安装包上传到“mega”、“clicknupload”、“fileupload”等多个云盘，然后将文件的下载链接通过“NITROWAR”、“MEWAREZ”等论坛进行“分享”传播，相应的软件被受害者下载安装运行后，“安装幽灵”就会启动执行。首先，“安装幽灵”将系统文件“%Windows%\Microsoft.NET\Framework\v3.5\vbc.exe”拷贝到系统的%temp%目录命名为svhost.exe并启动它，然后将恶意代码注入到svhost.exe进程空间。注入到svhost.exe进程空间中的恶意代码一方面创建挖矿配置文件，一方面将挖矿病毒注入到"%Windows%\System32\wuapp.exe"傀儡进程，最后以配置文件作为参数进行挖矿作业，隐蔽性很强。

三、传播途径

我们的研究人员最初捕获到的是“Internet Download Manager”下载管理器的一个破解安装包程序（后文简称IDM），安装完该IDM后，我们发现计算机对某远程服务器4444端口有异常连接。经过进一步分析，我们最终发现了捆绑在IDM破解安装包里面的“安装幽灵”挖矿病毒。“安装幽灵”被捆绑到破解版IDM下载器安装程序中，用户在安装IDM的过程中，它即被释放到用户的计算机上进行挖矿作业，为攻击者赚取利益。

通过溯源追踪，我们最终找到了该IDM植入版本的传播来源，该版本的下载链接被公布在国外论坛“NITRO WAR”上供用户下载。“NITRO WAR”论坛是一个以分享“电影”、“音乐”、“游戏”、“电子书”和“应用程序”等资源为主的资源共享平台。该IDM植入版本的下载链接即被发布在该论坛的“Windows Applications”板块下，如图2所示。

我们对该IDM植入版本的下载链接统计如表1。从表1中我们可以看到，该植入版本的有效变种一共有4个，分别被上传到了“userscloud”、“mega”、“clicknupload”、“openload”和“file-upload”等多个流行的云存储空间上供用户下载。

发布该植入版本的用户一共有2个账号，用户名分别为“CrackKilla”和“hefu2”，如图3。账户注册时间分别为2018年1月和2018年3月，从发布的内容和注册时间以及填写的生日来看，这两个账户很有可能是由同一个人维护。

除了该IDM植入版本外，还有“Malwarebytes”、“Advanced SystemCare Pro”、“Windows 10 Manager”、“CCleaner Professional”和“CyberGhost”等知名应用的“激活版本”被发布。我们将这些应用统计到下表2中，应用种类共计26个，连同不同的版本共发布了99个之多，涵盖系统优化应用、软件卸载应用、光盘刻录应用、杀毒软件应用、系统激活应用、资源下载应用等，其中包括知名公司如Google、Piriform、Malwarebytes的知名应用。尤其像“CCleaner Professional”、“Speccy Professional Business Technician”等知名应用已被数百万计的家庭和商业用户使用，并已安装在世界各地的多个国家。

我们随机下载了“CyberGhost 6.5.0.3180 Setup + Crack”应用，同样发现了植入在其安装包内的“安装幽灵”挖矿病毒。不难推断，这些应用程序很有可能都被植入了恶意的不限于挖矿病毒的恶意功能。

随后，我们的研究人员分别在“MEWAREZ”和“MechoPirate”两个论坛上也追踪到了CrackKilla发布的多个帖子，同样向网友“分享”了若干Windows应用程序的破解版本，如图4。

四、挖矿病毒剖析

安装破解软件的过程中，“安装程序”在“正常安装”的同时，会先将“%Windows%\Microsoft.NET\Framework\v3.5\vbc.exe”拷贝到Windows系统的%temp%目录，并命名为svhost.exe（如图5），启动svhost.exe后再将恶意代码注入到其进程空间。

恶意代码一方面在“%Users%\ThinkPad\AppData\Local”目录创建“KeAgPGdPeF”文件夹，并且在“KeAgPGdPeF”目录下新建配置文件cfgi和cig，再将“安装幽灵”挖矿病毒需要的配置信息写入到配置文件如图6。

写入结果见图7，配置文件内容是以json格式保存的“安装幽灵”挖矿病毒运行需要用到的参数，从图7中我们可以看到，矿池地址为"pool.minexmr.com:4444"，钱包地址为"41yPyJBBpN3BAMP5C4bYJe7MRdoWLXsiJWPrsZ2ZcERWecu1hAnFjqUgXzVvs8wJqKioKrNEWqdT2B6GBY2yA9tU9mZ5u4e"，配置文件除了包含有矿池的地址和门罗币钱包地址等数据外还包含有重试次数、重试间隔、线程数、CPU优先级等其他配置数据。

恶意代码另一方面运行挖矿傀儡进程"%Windows%\System32\wuapp.exe" ，通过-c "%Users%\ThinkPad\AppData\Local\KeAgPGdPeF\cfg"传入cfg挖矿配置文件作为参数（见图8），目的是利用注入到傀儡进程内存空间的挖矿程序XMRig 2.5.0进行挖矿作业，如图9。

五、挖矿账户

“安装幽灵”挖矿病毒对应的钱包地址查询结果见图10，从图10中我们可以看到，该账户最近90天的算力分布图，其算力分别为：(24h) 342.97 H/s、(12h) 340.20 H/s、(1h) 482.60 H/s、(10m) 429.00 H/s，并且截止到目前，该挖矿行为依然活跃。

图10 攻击者账户的算力和收益

六、总结与安全建议

由于比特币和以太币等虚拟货币价格的快速增长，围绕着虚拟货币的网络攻击也逐年增加，这已经发展成为一个不可忽略的重大问题。据 BleepingComputer 统计，传播门罗币挖矿机的恶意病毒已达到几十余种，2018年，情况更加糟糕。如果用户发现自己的CPU使用量暴增，笔记本电脑突然耗电量加快，那么你的电脑很有可能被用来进行虚拟货币的挖矿行为。之前已经有不少流氓软件通过将用户电脑变成门罗币挖矿肉鸡来盈利，比如“ThePirateBay”就利用其网页中嵌入的JS代码让访问其网站的电脑使用CPU资源为它进行门罗币的挖矿行为。

用户可以在"%SYSTEMROOT%\Users\[username]\AppData\Local\"目录下查看是否存在"KeAgPGdPeF"目录,并且该目录下是否存在"cfg"文件来确定自己是否感染“安装幽灵”。从其门罗币钱包对应的挖矿数据来看，其挖矿行为正处于活跃阶段并且在以后的较长时间仍然会持续保持活跃状态。提醒用户不要轻易下载破解软件，使用破解软件不但不合法而且还可能给用户带来安全风险。建议用户尽量从官网下载所需应用，在不得不从第三方下载站点下载软件时，需保持高度警惕，认真甄别，防止误下恶意应用，给自己造成不必要的麻烦和损失。