南方都市网
首页 新闻资讯财经时尚科技健康体育汽车房产教育
当前位置: 首页 > 新闻 >注意!双平台挖矿木马MServicesX借用白签名躲避杀毒软件

注意!双平台挖矿木马MServicesX借用白签名躲避杀毒软件

发布时间:2018-11-08 18:51 | 浏览次数:158
立冬来临,天气转凉,许多用户的电脑、手机设备似乎也患了感冒:开始突发性的异常发热、续航能力变低。这种现象需要当心,你的设备可能被木马劫持,充当了挖矿苦力。近日,腾讯智慧安全御见威胁情报中心发现,一款拥有Windows和安卓双版本的挖矿木马MService

  立冬来临,天气转凉,许多用户的电脑、手机设备似乎也患了“感冒”:开始突发性的异常发热、续航能力变低。这种现象需要当心,你的设备可能被木马劫持,充当了挖矿“苦力”。近日,腾讯智慧安全御见威胁情报中心发现,一款拥有Windows和安卓双版本的挖矿木马MServicesX悄然流行,中毒电脑和手机会运行门罗币挖矿程序,造成异常发热乃至设备受损的现象。目前,腾讯电脑管家已可对该病毒进行全面查杀,同时提醒广大用户,切勿下载安装来历不明的应用程序,手机用户可开启腾讯手机管家进行实时安全防护。

(图:腾讯电脑管家查杀MServicesX挖矿木马)

  据了解,挖矿木马MServicesX十分擅长伪装,在电脑端使用具有合法数字签名的文件,以躲避安全软件的查杀;在安卓手机端更伪装成Youtube视频播放器软件,不知情的用户用其在手机上观看视频时,病毒会在后台运行门罗币挖矿程序。数据显示,挖矿木马MServicesX近期表现活跃,感染量波动较大,并且已快速蔓延至全球范围。在国内,则以广东、江苏、香港三地的受感染量最大。

  经病毒溯源发现,该病毒的Windows版本通过提供各类游戏下载安装的某游戏下载站进行传播,木马隐藏在游戏安装包中,游戏安装程序在运行时会提示用户关闭杀毒软件,并释放出木马文件“MServicesX_FULL.exe”。安装包运行后,病毒还会将版本更新设置为计划任务,每三个小时运行一次,保持木马更新为最新版本,利用后台程序挖矿,尽最大可能榨取用户CPU资源。

(图:MServicesX挖矿木马通过游戏网站进行传播)

  值得注意的是,木马文件MServicesX_FULL.exe使用合法的数字签名“16qp limited”来躲避安全软件的查杀。此外,经腾讯智慧安全御见威胁情报中心对同类样本进行扩散分析,还发现多个拥有合法签名的同类样本,样本的签名包括“Spinex Solutions Ltd”、“Extrebal limited”、“Kupui ltd”等,在这些白签名的掩护下,挖矿木马MServicesX得以“瞒天过海”,成功入侵用户电脑。

(图:MServicesX挖矿木马使用白签名躲避杀毒软件)

  除了电脑用户,安卓手机用户尤其是经常观看Youtube视频的用户也要当心。研究人员在MServicesX挖矿木马C2地址还发现了Android程序的安装包youtubeplayerx2.apk。通过文件名可以看出,该安卓病毒会假冒Youtube播放器传播,导致“中招”用户手机的内存被占用,不可避免地出现手机发热、耗电更快等异常现象。

  对此,腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松建议广大用户,保持安全软件正常开启状态,定期查看电脑CPU运行状况进行自检,一旦发现电脑显卡GPU出现异常占用情况,可使用腾讯电脑管家做进一步检测和病毒查杀。此外,尽量选择游戏官网和正规网站下载游戏和软件。对于安卓手机用户,切勿在手机上运行来历不明的程序,可使用腾讯手机管家实时检测上网安全环境,避免造成不必要的损失。

精彩图文