近日發(fā)現(xiàn)了大量知名軟件的安裝程序被植入挖礦病毒，該病毒背后的黑客試圖通過軟件共享論壇等社交渠道來發(fā)布受感染的軟件安裝包，我們稱該惡意軟件為“安裝幽靈”挖礦病毒。

攻擊者在多個論壇“共享”了捆綁有“安裝幽靈”挖礦病毒的各類流行應(yīng)用的破解版本，其中包括“Malwarebytes”、“Windows 10 Manager”等知名應(yīng)用共計26種，連同不同的版本共發(fā)布有99個之多，功能涵蓋系統(tǒng)優(yōu)化、軟件卸載、光盤刻錄、殺毒、系統(tǒng)激活、資源下載等。如Google、和Malwarebytes等，尤其像“CCleaner Professional”、“Speccy Professional Business Technician”等知名應(yīng)用已被數(shù)百萬計的家庭和商業(yè)用戶使用，并已安裝在世界各地的多個國家。

因為這些應(yīng)用絕大多數(shù)為付費軟件，所以互聯(lián)網(wǎng)上存在有大量該類應(yīng)用的破解版本，這也正好滿足了一部分用戶的使用需求。不過天下沒有免費的午餐，用戶在享受“免費”實惠的同時，殊不知這份實惠早已在暗中標(biāo)好了價格。

“安裝幽靈”挖礦病毒的感染流程
攻擊者先將包含有“安裝幽靈”的破解安裝包上傳到“mega”、“clicknupload”、“fileupload”等多個云盤，然后將文件的下載鏈接通過“NITROWAR”、“MEWAREZ”等論壇進行“分享”傳播，相應(yīng)的軟件被受害者下載安裝運行后，“安裝幽靈”就會啟動執(zhí)行。首先，“安裝幽靈”將系統(tǒng)文件“%Windows%\Microsoft.NET\Framework\v3.5\vbc.exe”拷貝到系統(tǒng)的%temp%目錄命名為svhost.exe并啟動它，然后將惡意代碼注入到svhost.exe進程空間。注入到svhost.exe進程空間中的惡意代碼一方面創(chuàng)建挖礦配置文件，一方面將挖礦病毒注入到”%Windows%\System32\wuapp.exe”傀儡進程，最后以配置文件作為參數(shù)進行挖礦作業(yè)，隱蔽性很強。

“安裝幽靈”挖礦病毒的傳播途徑
研究人員最初捕獲到的是“Internet Download Manager”下載管理器的一個破解安裝包程序（后文簡稱IDM），安裝完該IDM后，發(fā)現(xiàn)計算機對某遠(yuǎn)程服務(wù)器4444端口有異常連接。經(jīng)過進一步分析，我們最終發(fā)現(xiàn)了捆綁在IDM破解安裝包里面的“安裝幽靈”挖礦病毒。“安裝幽靈”被捆綁到破解版IDM下載器安裝程序中，用戶在安裝IDM的過程中，它即被釋放到用戶的計算機上進行挖礦作業(yè)，為攻擊者賺取利益。

安全建議
由于比特幣和以太幣等虛擬貨幣價格的快速增長，圍繞著虛擬貨幣的網(wǎng)絡(luò)攻擊也逐年增加，這已經(jīng)發(fā)展成為一個不可忽略的重大問題。如果用戶發(fā)現(xiàn)自己的CPU使用量暴增，筆記本電腦突然耗電量加快，那么你的電腦很有可能被用來進行虛擬貨幣的挖礦行為。用戶可以在”%SYSTEMROOT%\Users\[username]\AppData\Local\”目錄下查看是否存在”KeAgPGdPeF”目錄，并且該目錄下是否存在”cfg”文件來確定自己是否感染“安裝幽靈”。提醒用戶不要輕易下載破解軟件，使用破解軟件不但不合法而且還可能給用戶帶來安全風(fēng)險。建議用戶盡量從官網(wǎng)下載所需應(yīng)用，在不得不從第三方下載站點下載軟件時，需保持高度警惕，認(rèn)真甄別，防止誤下惡意應(yīng)用，給自己造成不必要的麻煩和損失。

ice

收藏 海報分享