導(dǎo)語：近日，深信服安全團(tuán)隊(duì)追蹤到一新型的挖礦病毒，該病毒與普通挖礦病毒有很大差異，普通挖礦沒有特殊防護(hù)，而該病毒采用了驅(qū)動(dòng)進(jìn)行防護(hù)，十分罕見。

1、挖礦病毒

近日，深信服安全團(tuán)隊(duì)追蹤到一新型的挖礦病毒，該病毒與普通挖礦病毒有很大差異，普通挖礦沒有特殊防護(hù)，而該病毒采用了驅(qū)動(dòng)進(jìn)行防護(hù)，十分罕見。

與多數(shù)挖礦病毒一樣，感染主機(jī)會(huì)出現(xiàn)異常卡頓現(xiàn)象，且CPU占用率過高。該病毒使用了驅(qū)動(dòng)保護(hù)，無法通過任務(wù)管理器中止病毒進(jìn)程，很難查殺。深信服已將該病毒命名為ProtectionX。

感染ProtectionX病毒后，系統(tǒng)中會(huì)存在3個(gè)進(jìn)程：母體1sass.exe及其子進(jìn)程wuauc1t.exe與win1ogon.exe，注意名稱中是“1”而不是“l(fā)”。其中win1ogon.exe進(jìn)程占用大量CPU資源。

嘗試終止1sass.exe進(jìn)程，提示“拒絕訪問”。而終止wuauc1t.exe和win1ogon.exe進(jìn)程后，又會(huì)重新起來！這里，是因?yàn)橛序?qū)動(dòng)保護(hù)了1sass.exe，而1sass.exe又防護(hù)了wuauc1t.exe與win1ogon.exe，環(huán)環(huán)相扣，多層護(hù)體。

2、行為分析

病毒執(zhí)行流程如下：

主要包括3個(gè)模塊：自保護(hù)、持久化以及挖礦模塊。其中自保護(hù)模塊用于保護(hù)病毒母體進(jìn)程不被殺掉，持久化模塊添加開機(jī)自啟動(dòng)，挖礦模塊會(huì)進(jìn)行挖礦并殺掉別的挖礦進(jìn)程以及其他一些CPU占用高的進(jìn)程。

2.1 病毒文件

病毒母體1sass.exe為一個(gè)win32程序，加了VMP殼。

2.2 自保護(hù)模塊

釋放ProcessExtended.dll模塊到本目錄并加載。

調(diào)用ProcessProtectionX函數(shù)。

ProcessProtectionX函數(shù)首先釋放一個(gè)驅(qū)動(dòng)文件到%Temp%目錄，驅(qū)動(dòng)文件名由7個(gè)隨機(jī)的字母加數(shù)字組成。

安裝驅(qū)動(dòng)，服務(wù)名為hy5.5。

與驅(qū)動(dòng)通信，將自身進(jìn)程ID發(fā)送給驅(qū)動(dòng)。

驅(qū)動(dòng)中使用了SSDT HOOK，HOOK掉了NtOpenProcess從而實(shí)現(xiàn)進(jìn)程保護(hù)。

刪除驅(qū)動(dòng)文件。

2.3 持久化模塊

為1sass.exe添加自啟動(dòng)，注冊(cè)表路徑為

“HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font”。

 

2.4 挖礦模塊

挖礦模塊包含兩個(gè)進(jìn)程：wuauc1t.exe和win1ogon.exe。由1sass.exe釋放并運(yùn)行，隨后進(jìn)入循環(huán)對(duì)這兩個(gè)進(jìn)程進(jìn)程守護(hù)。

2.4.1 搶占資源

wuauc1t.exe的功能為搶占CPU資源，由1sass.exe釋放到同一目錄下并運(yùn)行，運(yùn)行時(shí)傳入?yún)?shù)“win1ogon.exe”。

首先遍歷系統(tǒng)進(jìn)程并獲取其CPU占用率。“Process\ % Processor Time”用于獲取過程的所有線程在每個(gè)處理器上的處理器時(shí)間總和。

獲取除傳入?yún)?shù)“win1ogon.exe”、本進(jìn)程以及“explorer.exe”以外的CPU占用較高的進(jìn)程。

終止掉CPU占用較高的其他進(jìn)程以及其他挖礦進(jìn)程。

終止的其他挖礦進(jìn)程列表如下：

2.4.2 挖礦

win1ogon.exe為挖礦進(jìn)程，也是由1sass.exe釋放到同一目錄下并運(yùn)行。礦池為pool.minexmr.com:7777。

有了其他兩個(gè)進(jìn)程的保駕護(hù)航，挖礦進(jìn)程可以最大限度的利用系統(tǒng)資源進(jìn)行挖礦。

3、解決方案

病毒防御

1、及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞。

2、對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3、更改賬戶密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼。

4、可以嘗試使用PC Hunter強(qiáng)制刪除并結(jié)束進(jìn)程1sass.exe、wuauc1t.exe、win1ogon.exe。

5、刪除注冊(cè)表項(xiàng)HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font。

最后，建議企業(yè)對(duì)全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描，加強(qiáng)防護(hù)工作。