斗地主群

当前位置:主页首页 > 电脑教程 > 安全知识 > 病毒木马查杀 > >

一个月更新六次的病毒 到底有多厉害

来源::网络整理 | 作者:管理员 | 本文已影响

  8月27日,瑞星安全研究院率先捕获到知名挖矿木马病毒“DTLMiner”的最新变种,这已经是该病毒在8月份的第六次更新。新版本的“DTLMiner”不仅盗取了更多的用户信息,还能够同时运行两个不同的挖矿程序,最大化压榨受害者电脑性能,为攻击者牟取利益。

  此前,瑞星已经不止一次报道过“DTLMiner”的危害,该病毒最早是黑客利用“永恒之蓝”漏洞传播,通过某软件升级模块进行大范围投放的。在瑞星安全研究院的持续关注下发现,该病毒更新频率极快,从2018年底至今,已更新了近20次之多,可见攻击者在不遗余力的躲避查杀和拦截,且攻击手法也越来越恶劣。

  2018年12月14日至2019年8月27日 “DTLMiner”挖矿木马更新时间线:

1.png

  此番“DTLMiner”有了巨大变化,该版本会根据电脑系统位数执行不同版本的挖矿程序,对使用AMD Radeon显卡并且操作系统是64位的电脑 “格外照顾”,会同时运行两个不同的挖矿程序,并且通过盗取受害者电脑内包括开机时间、当前日期、显卡信息、U盘和网络磁盘等隐私信息,最大程度来压榨受害者电脑,为攻击者带来更多的不法利益。

  目前,瑞星旗下所有产品均可查杀最新的“DTLMiner”,广大用户可升级至最新版本,对该病毒进行防御。同时由于该病毒未来可能造成巨大的影响,瑞星安全专家给出以下建议:

  安装永恒之蓝漏洞补丁和“震网三代”(CVE-2017-8464)漏洞补丁,防止病毒通过漏洞植入;

  系统和数据库不要使用弱口令账号密码;

  多台机器不要使用相同密码,病毒会抓取本机密码,攻击局域网中的其它机器;

  安装安全有效的杀毒软件,保持防护开启。

2.png

图:瑞星ESM查杀最新版“DTLMiner”截图

  相关链接:

  瑞星:某软件木马三连更 增加签名躲查杀

  瑞星率先捕获挖矿木马“DTLMiner” 中毒后仿佛闻到了烧显卡的味道

  瑞星:一月二更 “DTLMiner”病毒有点狂

  技术分析

  修改了上一版本中RDP登录后的窗口大小,从原本的70x70修改到700x700。

3.png

图:调整RDP窗口大小

  上一个更新版本中,Mimikatz已经调整为通过下载URL hxxp://down.ackng.com/wf.cab 的压缩包获得,其中包含了RDP登录工具,这次进一步作出优化处理。如果下载下来的Mimikatz模块被杀毒软件清除,则通过 URL hxxp://down.ackng.com/mm.bin 直接让Mimikatz以无文件模式加载进内存。

4.png

  图:让Mimikatz模块以无文件模式加载进内存

  上一个更新版本中,对每台开放RDP端口的机器的弱口令爆破是无条件的,该版本中病毒作者为其补上了与之前的SMB爆破及MSSQL爆破同样的限制条件——机器未被感染(65529端口未开放)时才尝试。

5.png

图:为RDP爆破增加限制条件

  在新版本中作者重新定义了版本号,“v0.1”似乎意味着一切从头开始, 不能保证后续版本不会有较大的变化。

6.png

图:定义病毒迭代版本号

  获取更多的用户信息:开机时间、当前日期、显卡信息、U盘和网络磁盘的信息等。

7.png

图:获取更多用户信息

  在挖矿程序执行后,通过矿工程序提供的接口hxxp://127.0.0.1:43669/1/summary 获取当前机器总算力数据。

8.png

图:获取当前挖矿算力

  值得留意的是,病毒作者曾经在6月19日短暂投放了一个疑似测试性质的脚本,该脚本在启动挖矿模块时尝试将命令行输出流重定向至文件,然后通过读取文件内容获取机器挖矿算力信息。但是该脚本头部并未包含签名,因而在被感染机器上无法执行起来。

9.png

图:早期脚本获取挖矿算力信息的方法

  加入文件下载校验,保证文件的完整性。根据系统位数执行不同版本的挖矿程序,此外在最新的版本中还对使用AMD Radeon显卡并且操作系统是64位的机器进行“格外照顾”,将会同时运行两个不同的挖矿程序。

10.png

图:加入文件校验以及针对AMD显卡的新挖矿程序

  “DTLMiner”挖矿木马更新时间线

11.png

  IOC

  MD5:

  abcc20b2de0b18c895b94d2c23c0bc63

  a48ea878f703c32ddac33abc6fad70d3

  9e72de890eeb784a875ef57b85b3ee1d

  e2ed6568626e696de58f13b2aa26243d

  URL:

  hxxp://down.ackng.com/mm.bin


分享到: 更多

更多关于“病毒木马查杀”的文章

随机阅读TODAY'S FOCUS