WannaMiner挖矿木马不光擅长黑吃黑 最新变种还会过河拆桥
木马病毒不仅“黑吃黑”,还会“过河拆桥”。
腾讯智慧安全御见威胁情报中心近日发现一种WannaMiner挖矿木马新变种,其在挖取门罗币(XMR)同时还会下载远控木马,和以往的版本类似,该挖矿木马会查杀其他挖矿木马,以“黑吃黑”的方式保证自己独享系统资源。
值得一提的是,WannaMiner挖矿木马最新变种还会“过河拆桥”,在自身入侵成功后会关闭高危端口,避免其他挖矿木马入侵,达到独享挖矿资源的目的。腾讯电脑管家已实时拦截该挖矿木马的入侵,并提醒广大用户加强防范,及时修复漏洞补丁。
WannaMiner挖矿木马最新变种入侵电脑后,会冒充微软系统文件,关闭Windows防火墙并添加任务自启动,同时释放NSA攻击工具套件,扫描内网445端口横向扩散,并释放远程控制木马,取得系统最高权限,方便不法黑客窃取隐私及执行一切远程管理任务。该木马在释放挖矿模块时,不仅会结束其他挖矿木马进程,还会在确保安装好自身之后,关闭系统的135、137、138、139、445端口,堵上后续挖矿木马侵入的大门,独占挖矿资源。
(图:WannaMiner挖矿木马最新变种释放挖矿模块)
经过腾讯安全技术专家分析发现,该变种除了与早先的MsraMiner家族在漏洞利用和恶意基础设施上高度一致,还跟其他安全厂商今年六月曝光的另一个家族HSMiner如出一辙。因此腾讯智慧安全判断,WannaMiner、MsraMiner、HSMiner实际为同一家族的不同命名,背后为同一黑产团伙。
(WannaMiner与HSMiner的代码高度相似)
通过同源性分析和比对以往的威胁情报,WannaMiner挖矿木马最新变种下载了和HSMiner挖矿木马一样的远程控制模块、使用了与HSMiner挖矿木马有相关性的C2服务器。与此类似,通过溯源分析,发现WannaMiner挖矿木马最新变种与MsraMiner挖矿木马在C2服务器方面也存在复用情况。因此,腾讯智慧安全御见威胁情报中心判断由不同安全团队报告的WannaMiner、MsraMiner与HSMiner挖矿木马,背后的控制者实为同一团伙。
(图:腾讯安全企业级产品御点)
此前,MsraMiner挖矿木马曾在大型僵尸网络Mining Botnet上运行,通过NSA武器库和自带Web Server进行传播,30000台主机受到感染。本次WannaMiner挖矿木马最新变种与其系同一家族。为了避免不必要的损失,腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松建议企业用户安装御点终端安全管理系统,通过终端杀毒和修复漏洞统一管控,以及策略管控等全方位的安全管理功能,方便企业管理者全面了解、管理企业内网安全状况、保护企业安全。
-
币易Coinyee重磅上线 专注全球区块链
虽然国内对于数字货币的监管让国内的数字货币市场有明显的降温,但数字货币在国际市场...
-
东莞天安数码城企业倍增密码:从0到1
从六年前的荒芜之地,到今天的创业新城;从0到签约1024家科技企业;从0到9家上市企业...
-
微软Meltdown补丁引发更大安全漏洞 腾
2018年初被曝光的两大CPU高危漏洞熔断(Meltdown)和幽灵(Spectre)带来的危机仍在持...
-
U-run星座友跑重回沪上,华东师大校园
金秋时分,U-run全国校园跑步系列赛事来到上海华东师范大学。在中国工商银行及Visa公...
-
益智玩具童车 棒孩子玩具童车等你加盟
在大众创业、万众创新的时代,就业压力是逐年的攀升,越来越多的人将目光从就业领域转...