1、挖礦病毒
近日,深信服安全團(tuán)隊(duì)追蹤到一新型的挖礦病毒,該病毒與普通挖礦病毒有很大差異,普通挖礦沒(méi)有特殊防護(hù),而該病毒采用了驅(qū)動(dòng)進(jìn)行防護(hù),十分罕見(jiàn)。
與多數(shù)挖礦病毒一樣,感染主機(jī)會(huì)出現(xiàn)異??D現(xiàn)象,且CPU占用率過(guò)高。該病毒使用了驅(qū)動(dòng)保護(hù),無(wú)法通過(guò)任務(wù)管理器中止病毒進(jìn)程,很難查殺。深信服已將該病毒命名為ProtectionX。
感染ProtectionX病毒后,系統(tǒng)中會(huì)存在3個(gè)進(jìn)程:母體1sass.exe及其子進(jìn)程wuauc1t.exe與win1ogon.exe,注意名稱中是“1”而不是“l(fā)”。其中win1ogon.exe進(jìn)程占用大量CPU資源。
嘗試終止1sass.exe進(jìn)程,提示“拒絕訪問(wèn)”。而終止wuauc1t.exe和win1ogon.exe進(jìn)程后,又會(huì)重新起來(lái)!這里,是因?yàn)橛序?qū)動(dòng)保護(hù)了1sass.exe,而1sass.exe又防護(hù)了wuauc1t.exe與win1ogon.exe,環(huán)環(huán)相扣,多層護(hù)體。
2、行為分析
病毒執(zhí)行流程如下:
主要包括3個(gè)模塊:自保護(hù)、持久化以及挖礦模塊。其中自保護(hù)模塊用于保護(hù)病毒母體進(jìn)程不被殺掉,持久化模塊添加開機(jī)自啟動(dòng),挖礦模塊會(huì)進(jìn)行挖礦并殺掉別的挖礦進(jìn)程以及其他一些CPU占用高的進(jìn)程。
2.1 病毒文件
病毒母體1sass.exe為一個(gè)win32程序,加了VMP殼。
2.2 自保護(hù)模塊
釋放ProcessExtended.dll模塊到本目錄并加載。
調(diào)用ProcessProtectionX函數(shù)。
ProcessProtectionX函數(shù)首先釋放一個(gè)驅(qū)動(dòng)文件到%Temp%目錄,驅(qū)動(dòng)文件名由7個(gè)隨機(jī)的字母加數(shù)字組成。
安裝驅(qū)動(dòng),服務(wù)名為hy5.5。
與驅(qū)動(dòng)通信,將自身進(jìn)程ID發(fā)送給驅(qū)動(dòng)。
驅(qū)動(dòng)中使用了SSDT HOOK,HOOK掉了NtOpenProcess從而實(shí)現(xiàn)進(jìn)程保護(hù)。
刪除驅(qū)動(dòng)文件。
2.3 持久化模塊
為1sass.exe添加自啟動(dòng),注冊(cè)表路徑為
“HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font”。
2.4 挖礦模塊
挖礦模塊包含兩個(gè)進(jìn)程:wuauc1t.exe和win1ogon.exe。由1sass.exe釋放并運(yùn)行,隨后進(jìn)入循環(huán)對(duì)這兩個(gè)進(jìn)程進(jìn)程守護(hù)。
2.4.1 搶占資源
wuauc1t.exe的功能為搶占CPU資源,由1sass.exe釋放到同一目錄下并運(yùn)行,運(yùn)行時(shí)傳入?yún)?shù)“win1ogon.exe”。
首先遍歷系統(tǒng)進(jìn)程并獲取其CPU占用率?!癙rocess\ % Processor Time”用于獲取過(guò)程的所有線程在每個(gè)處理器上的處理器時(shí)間總和。
獲取除傳入?yún)?shù)“win1ogon.exe”、本進(jìn)程以及“explorer.exe”以外的CPU占用較高的進(jìn)程。
終止掉CPU占用較高的其他進(jìn)程以及其他挖礦進(jìn)程。
終止的其他挖礦進(jìn)程列表如下:
2.4.2 挖礦
win1ogon.exe為挖礦進(jìn)程,也是由1sass.exe釋放到同一目錄下并運(yùn)行。礦池為pool.minexmr.com:7777。
有了其他兩個(gè)進(jìn)程的保駕護(hù)航,挖礦進(jìn)程可以最大限度的利用系統(tǒng)資源進(jìn)行挖礦。
3、解決方案
病毒防御
1、及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞。
2、對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。
3、更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼。
4、可以嘗試使用PC Hunter強(qiáng)制刪除并結(jié)束進(jìn)程1sass.exe、wuauc1t.exe、win1ogon.exe。
5、刪除注冊(cè)表項(xiàng)HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font。
最后,建議企業(yè)對(duì)全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描,加強(qiáng)防護(hù)工作。