近日,安天 CERT 在梳理网络安全事件时发现一个名为 GroksterMiner 挖矿木马程序。GroksterMiner 将自身命名为“Lucio Dalla Discografia Completa”,目的是伪装成一个著名的意大利歌手唱片集合,诱惑 歌迷运行,释放门罗币挖矿程序,并通过 P2P 网络传播,威胁极大。
样本母体程序是一个 SFX 格式(自解 压)的文件,用 7-Zip 或者 WinRAR 打开后可以看见这个母体程序包含 13 个 .tmp 文件、1 个 .vbs 脚本、1 个 .bat 批处理脚本 和 1 个 setup 文件。当该母体程序被双击 运行时会执行 run.vbs 脚本,并且该程序在 释放文件时会覆盖当前目录下的任何同名 文件且无需用户确认。run.vbs 脚本退出后,继而以后台启动的方式运行 installer.bat 批 处 理 脚 本。installer.bat 脚本的最终目的是将当前文件夹下的 001.tmp 复制到自启动文件 夹, 并重命名为“svchost.exe”。 svchost.exe 的目的是释放挖矿程序进行挖矿。该挖矿木马为了降低被检出率,使用 了以下技术:使用自解压程序隐藏恶意 PE 文件内容、使用文件加壳加文件拆分技术, 将恶意文件加壳后拆分为多个部分,使用时再将其组合起来。在进行 P2P 传播时, 将恶意文件 DOS 头中“program”替换为 随机的 7 位字符,使文件在每次运行时出现不同的 HASH 值。
安天 CERT 提醒广大政企客户,应提高网络安全意识,在日常工作中及时进行系统更新和漏洞修复,不随意下载非正版 的应用软件、注册机等。收发邮件时应确认收发来源是否可靠,不随意点击或者复 制邮件中的网址,不轻易下载来源不明的附件,发现网络异常要提高警惕并及时采 取应对措施,养成及时更新操作系统和软 件应用的良好习惯。确保所有的计算机在 使用远程桌面服务时避免使用弱密码,如果业务上无需使用远程桌面服务,建议将 其关闭。
目前,安天追影产品已经实现了对该类挖矿木马的鉴定;安天智甲已经实现了对该挖矿木马的查杀。
