目前，加密货币的挖掘工具被恶意软件大量使用，我们已经发现挖矿工具被注入广告平台、热门移动设备以及服务器上。恶意软件的创造者改变有效载荷，以最大限度地获取利润，在这种不稳定的加密货币环境中，他们似乎致力于将挖矿工具整合到自己的恶意软件中。我们现在还发现使用挖矿工具来满足自身需求的二进制感染者。

我们最近发现了一种具有加密货币挖掘和蠕虫功能的复杂文件感染情况，在我们的调查中发现了这一文件的两种变体。被确认为XiaoBa（作为PE_XIAOBAMINER被趋势科技检测到），这一特殊的恶意软件与XiaoBa的勒索软件非常相似。然而，勒索软件的代码被重新设计了，增加了新的功能，使其成为一个更具破坏性的加密货币挖掘工具。

这种文件感染可以被认为是破坏性的，因为它会感染恶意软件的二进制文件，使主机代码保持完整，但不再执行主机代码的原始目的。例如，当一个带有XiaoBaMiner被感染的calc.exe文件被执行时，它将运行恶意软件代码，但将不再运行主要的calc.exe程序。

以挖矿为目的的感染

除了感染二进制文件，XiaoBa也是一个加密货币的挖掘工具。它向带有以下扩展名的文件中注入了Coinhive挖掘脚本：

· *.html

· *.htm

图1 显示Coinhive注入的感染代码;另一种变体甚至包含其自己的XMR配置和挖矿二进制文件

图2 一个受感染的脚本试图以显示CPU使用情况的方式加载到web浏览器上。

特制勒索软件代码

该加密货币挖掘工具是主要的有效载荷，通过在受害者的设备中注入Coinhive脚本部署。另一个XiaoBa变种包括脚本注入，但也包含XMRig Miner的一个32位和64位版本。我们还看到其他恶意软件携带32位和64位XMRig有效载荷，部署哪一个有效载荷取决于受害者的设备。

根据我们的分析，这种感染与勒索软件RANSOM_XIAOBA（第一次出现在2017年10月）有明显的相似之处，有多个可比较的代码结构。有一种可能性就是，它是专门被重新目的化以便用来传播货币挖掘的恶意软件。

图3 对勒索软件和感染代码的比较

无耻的感染技术

正如上面所提到的，XiaoBa感染恶意软件的二进制文件，使主机代码保持完整，而没有执行主机代码原始目的。和其他恶意软件一样，它会自动删除并执行自动启动的副本：

%systemroot%\360\360Safe\deepscan\ZhuDongFangYu.exe

或在另一个变体中

%systemroot%\svchost.exe

为了保持自身运行，它还会删除安全启动注册，以禁止登录到安全模式。

图4 恶意软件删除安全启动注册表键

然后，恶意软件修改主机文件，将AV和取证相关的URL重定向到本地主机(localhost)。

图5 将被重定向的安全相关URL列表

然后，搜索并感染带有以下扩展名的文件：

· *.exe

· *.com

· *.scr

· *.pif

不管内容是什么，恶意软件都会将自己的内容扩展到任何带有上述扩展名的文件上。扩展名是该恶意软件感染文件前检查的唯一标准，不像其他恶意软件，通常在感染文件之前寻找特定的条件或标记。该恶意软件还遍历所有目录。它不会避开关键的系统文件（%SystemRoot%和%ProgramFiles%），如果处理不当，就会使系统变得非常不稳定。

图6 恶意软件感染关键（%systemroot%system32）目录的屏幕截图。

最后，它会删除带有以下扩展名的文件，这些扩展名是AV磁盘图像文件和CD图像的扩展名：

· *.gho

· *.iso

图7 显示恶意软件删除和感染的文件的代码

激进的传播策略

根据我们的分析，恶意软件感染的文件的大小没有限制，从4kb到100+Mb的文件（我们在200+Mb文件上测试过），甚至可能更大的文件。更糟糕的是，它不会在受感染的文件上留下任何标记，这就导致了感染者自身的多重感染。

图8 恶意软件可以感染并重复感染文件

一旦在系统上执行了受感染的文件，它还将包括初始二进制主机文件的代码（命名为NORMAL. EXE）添加到预先准备的信息中。在一些样本中，我们在一个受感染的文件中发现了多达10个主机文件。由于恶意软件的有效负载，再加上它近乎无耻的感染文件的方式，不仅占用了大量的内存，而且还可能占用大量的磁盘空间。

两个XiaoBa变种的比较

到目前为止，我们已经发现了这种加密挖掘技术的两个变种。下面是对他们行为的显著差异的简要总结：

然而，这两个变种有一些相似之处。两者都对*.htm 和*.htm文件进行Coinhive感染（以COINMINER_XIAOBA.SM-HTML形式被趋势科技检测到）。*.htm 和 *.htm文件使用“yuNWeGn9GWL72dONBX9WNEj1aVHxg49E”作为用户站点密钥。它们还会感染带有.exe、.com、.scr和.pif扩展名的二进制文件。此外，这两种变种都使用BlackMoon打包，并禁用Windows用户账户控制通知。

基于这些惊人的相似之处，有两种可能的可能性：这两种变种来自同一个恶意软件作者，或者他们使用相同的源代码来添加和删除一些功能。

缓解和解决方案

如果被成功部署在设备上，XiaoBa会产生重大影响。一旦该恶意软件感染了二进制文件，主机文件的代码就不会执行。损坏的文件的应用，不管是哪款应用，都将不能再被正确使用。该恶意软件没有选择性，所以它可能影响关键文件，使受害者的系统极度不稳定。恶意软件还使用了大量的资源，因为它会堆积感染，从而占用更多的磁盘空间。由于它同时也是一个加密货币的挖掘工具，它还使用了设备的内存资源。

必须采取适当的安全措施来防范XIAOBA以及类似的威胁。趋势科技XGen™ 安全提供了一种跨代结合的威胁防御技术，以保护系统不受加密挖掘恶意软件的攻击。它的特点是高保真的机器学习来保护门路和端点，并保护物理、虚拟和云计算的工作负载。有了web/URL过滤、行为分析和自定义沙箱等功能，XGen™保护系统不受当前威胁的影响，这些威胁可以绕过传统的控制，利用已知的、未知的或未公开的漏洞，窃取或加密个人可识别的数据，或者进行恶意的加密货币挖掘。智能、优化和连接，XGen™使得趋势科技的安全解决方案更加强大：混合云安全、用户保护和网络防御。

攻击指标以及相关的SHA 256

PE_XIAOBAMINER.SM-O (感染程序)

11abb44de53807e32980a010a473514694f901841e63ab33f5e0ff8754009b47

6d870d18702c0871fb0d00db629dab94757090467c4d9b1420e1e9518779a285

PE_XIAOBAMINER.SM (被感染程序)

19805a35adace41ee871cc8baa74a2ead533a5d6734a2108e438d4c7ca2c4103

3333967f3407ccd5f930b50ac1699edc71c6c76c194f2e114a3f06ce7ab78c4c

勒索软件 XIAOBA

a322da0be4f0be8d85eab815ca708c8452b63f24d0e2d2d6d896a9f9331a6244