导语:McAfee Labs最近发现了一种恶意软件变体CoinMiner或CoinMiner-FOZU!。它通过感染用户可执行文件,将Coinhive JavaScript注入HTML文件,重定向安全产品域名阻止其更新,从而控制受害者的计算机挖掘新虚拟币。

加密货币的日益普及激发了一些人疯狂采矿,在网上赚钱。(采矿是数字货币系统中的交易处理,其中新的交易记录在区块链的数字分类账中。矿工帮助更新分类账,验证和收集新的交易以加入区块链。作为回报,矿工可以赚取比特币。)如果使用适当的权限进行的挖掘是资源密集和合法的。

McAfee Labs最近发现了一种恶意软件变体CoinMiner或CoinMiner-FOZU!。它通过感染用户可执行文件,将Coinhive JavaScript注入HTML文件,重定向安全产品域名阻止其更新,从而控制受害者的计算机挖掘新虚拟币。

我们分析的CoinMiner-FOZU!已成为2018年挖币式商业恶意软件中的翘楚。(三月份不完整统计数字)资料来源:McAfee Labs

下图显示了最近检测到的CoinMiner-FOZU!的统计数据和地理数据:

W32/CoinMiner在未经用户同意的情况下使用机器资源挖掘虚拟货币。它的寄生特性非常罕见并极具破坏性:恶意软件不会在其感染的每个文件上放置独特的标记。因此,相同恶意软件的后续版本会再次感染受害者的文件。

分析

启动后,CoinMiner将自己复制到两个硬编码位置:

· %Windows%\360\360Safe\deepscan\ZhuDongFangYu.exe

· %filesystemroot%:\RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe

这两个文件是只读、隐藏的:

二进制文件从第一个位置执行,开始寄生感染过程。恶意软件会将其自身添加到用户可执行文件中,但与传统文件感染不同,它不允许原文件运行。它针对扩展名为.exe,.com,.scr和.pif的文件,不检查多次感染。如果软件被删除,会再次对系统进行重新感染,则相同的文件将再次成为攻击目标。

为防止受害者从文件中恢复其干净版本,恶意软件会同时删除ISO(磁盘映像)和GHO文件:

一旦CoinMiner感染完其他可执行文件,它将Coinhive脚本注入HTML文件。Coinhive提供加密货币挖掘软件,使用可嵌入网站的JavaScript代码并利用网站访问者的处理器来挖掘加密货币:

CoinMiner会禁用用户帐户控制功能,该功能会在应用程序对系统进行更改时通知用户。通过更新注册表,它还会禁用文件夹选项和注册表工具,并删除安全模式。

从受感染系统上的第二个位置——根目录下的隐藏autorun.inf——恶意软件可确保机器重启后启动:

为避免被安全产品检测到,CoinMiner将安全软件域名放在Host文件中,并将它们重定向到127.0.0.1。如果用户还没有创建本地网站,他们将在浏览器中看到错误页面。通过这样做,恶意软件可以确保没有受害者可以从安全供应商那里收到更新。

当受害者运行已注入的HTML时,Coinhive脚本执行,从coinhive.com下载coinhive.min.js(hash:4d6af0dba75bedf4d8822a776a331b2b1591477c6df18698ad5b8628e0880382)。该脚本使用函数setThrottle(0)接管了100%的CPU。当受害者关闭受感染的HTML文件时,挖币就停止:

简单的主机文件注入,隐藏在回收站中,并最大限度地提高CPU使用率表明这种恶意软件由新手编写。McAfee建议所有用户更新其反安全产品到最新状态。

McAfee检测结果

· W32/CoinMiner

· CoinMiner-FOZU![Partial hash]

· TXT/CoinMiner.m

· HTML/CoinMiner.m

· JS/Miner.c

Hashes (SHA-256)

· 80568db643de5f429e9ad5e2005529bc01c4d7da06751e343c05fa51f537560d

· bb987f37666b6e8ebf43e443fc4bacd5f0ab795194f20c01fcd10cb582da1c57

· 4d6af0dba75bedf4d8822a776a331b2b1591477c6df18698ad5b8628e0880382

源链接

Hacking more

...