瑞星预警:“永恒之蓝”挖矿病毒最新变种来袭

时间:2019-03-22 13:33:22       来源:

   近日,瑞星捕捉到应用“永久之蓝”破绽流传的挖矿病毒MsraMiner涌现最新变种,经瑞星平安专家查验,海内各省已均有用户沾染。因为该病毒采取蠕虫的方法进行流传,一旦有用户沾染,就会招致网内其余用户遭遇株连,形成机器卡顿和蓝屏等景象,所以将来该病毒存在大规模流传的危险。
 
   应用“永久之蓝”破绽流传的挖矿病毒MsraMiner第一次涌现是在2017年5月,该病毒运用NSA泄漏的“永久之蓝”攻打工具流传挖矿病毒。病毒作者直到如今还在连续更新抗衡查杀,通过内网流传和外网下载的攻打方法,组建了少量的僵尸网络,极大的增添了查杀难度。
 
   挖矿病毒MsraMiner最新变种仍采取与之前雷同的攻打方法,不过进行了肯定晋级,将挖矿相干字符串进行少量交换,假装成体系效劳称号抗衡查杀。同时,病毒作者为了让挖矿病毒耐久驻留,当检测到体系义务治理器启动时,挖矿过程会主动退出。义务治理器封闭后,挖矿过程又会从新启动,病毒变得更加隐藏。效劳模块也由固定称号改成随机拼凑的字符串称号,用来回避杀软查杀。
 
 
   瑞星平安专家提示宽广用户,尽管病毒的流传才能在一直晋升,然而及时更新体系补丁,能够在很大水平上免受黑客的攻打。除此之外,采取以下进攻办法,可避免更多相似病毒的损害:
 
   1、倡议优先装置“永久之蓝”破绽补丁。
   2、若补丁装置失败,可开启防火墙封闭445端口。
   3、装置杀毒软件维持进攻开启,及时晋级病毒库。
 
   技巧剖析
 
   挖矿病毒MsraMine最新变种的病毒母体运行后开释效劳模块,开释的效劳模块称号随机拼凑。例如:ApplicationTimeHost。dll
 

图:开释效劳模块
 
   从以下字符串当选取拼凑。
 

图:拼凑效劳模块称号用到的字符串
 
   不同机器效劳称号不同,都是通过以上字符串拼凑组合而成。效劳称号和开释的效劳dll文件称号雷同。
 

图:创立的效劳
 

图:效劳称号和开释的效劳模块dll称号雷同
 
   开释“永久之蓝”攻打工具包到C:、Windows、NetworkDistribution目录,攻打网络中的其它机器。
 

图:开释“永久之蓝”攻打工具包
 
 
图:调用攻打模块攻打网络中的其它机器
 
   开释挖矿模块dllhostex。exe,挖矿消费体系资源。挖矿模块运用开源挖矿顺序修正而来,此版本将挖矿相干字符串进行了少量的交换,进一步抗衡查杀。
 
 
图:挖矿模块
 
   病毒作者为了让挖矿病毒耐久驻留,当检测到体系义务治理器启动时,挖矿过程会主动退出。义务治理器封闭后,挖矿过程又会从新启动,病毒变得更加隐藏。

相关热词搜索: