還在用工具激活系統？小心被當做礦機 _樣本

一、
捕獲到一個偽裝成激活軟件的病毒樣本。經分析，該樣本并沒有激活功能c檢測文件是否存在，其主要功能是安裝廣告軟件以及挖礦程序。
挖礦程序會拉起系統進程并在其中注入挖礦代碼，并循環監控.exe進程，如果檢測到 .exe進程則終止挖礦，使得受害者比較難以察覺。
1 病毒母體病毒母體圖標偽裝成：
其實是用制作的安裝包：
安裝界面：
釋放如下幾個文件到C: Files (x86) 10.2.1 Final目錄并運行腳本 .BAT 。
.BAT依次運行.exe、.exe和 .exe 。
.exe與.exe都是廣告軟件，.exe則是挖礦程序。
2 .exe
首先是.exe安裝界面：
會下載并安裝：
安裝服務：
升級任務計劃：
的抓包行為：
3 .exe
.exe安裝界面：
功能存在問題，下載的exe文件沒有帶后綴名：
4 .exe 首先在Local目錄下新建文件夾并將自己拷貝到下面。
添加注冊表自啟動項。
檢測是否存在.exe進程。
如果.exe進程不存在則拉起系統進程wuapp.exe，參數為” -a-o +tcp://:45560-p x -t 2″ 。
將挖礦程序注入到wuapp.exe進程。
挖礦程序為開源的-multi 1.2-dev 。
進入循環，守護注冊表自啟動項，并檢測.exe進程，如果檢測到則終止wuapp.exe 。
二、小馬激活
“小馬激活”病毒的第一變種只是單純地在瀏覽器快捷方式后面添加網址參數和修改瀏覽器首頁的注冊表項，以達到首頁劫持的目的。由于安全軟件的查殺和首頁保護功能，該版本并沒有長時間流行太長時間。其第二變種，在原有基礎上增強了與安全軟件的對抗能力。
由于其作為”系統激活工具”具有入場時間較早的優勢，使用驅動與安全軟件進行主動對抗，使安全軟件無法正常運行。在其第三個變種中，其加入了文件保護和注冊表保護，不但增加了病毒受害者自救的難度，還使得反病毒工程師在處理用戶現場時無法在短時間之內發現病毒文件和病毒相關的注冊表項。其第四個變種中，利用WMI中的永久事件消費者（sumer）注冊惡意腳本，利用定時器觸發事件每隔一段時間就會執行一段VBS腳本，該腳本執行之后會在瀏覽器快捷方式后面添加網址參數。該變種在感染計算機后，不會在計算機中產生任何文件，使得病毒分析人員很難發現病毒行為的來源，大大增加了病毒的查殺難度。通過如下表格我們可以更直觀的了解其發展過程：
通過我們近期接到的用戶反饋，我們發現了”小馬激活”病毒的新變種。該變種所運用的對抗技術十分復雜，進一步增加了安全軟件對其有效處理的難度，甚至使得病毒分析人員通過遠程協助處理用戶現場變得更困難。這個”小馬激活”病毒的最新變種運行界面如下：
2 樣本分析
該病毒釋放的驅動文件通過加殼，并通過過濾驅動的方式攔截文件系統操作（圖2），其目的是保護其釋放的動態庫文件無法被刪除。通過文件系統過濾驅動，使得系統中的其他進程在打開該驅動文件句柄時獲得的是tcpip.sys文件的句柄，如果強行刪除該驅動文件則會變為刪除tcpip.sys文件，造成系統無法正常連接網絡。我們通過下圖可以看到火絨劍在查看文件信息時，讀取的其實是tcpip.sys文件的文件信息。由于此功能，使得病毒分析人員無法在系統中正常獲取該驅動的樣本。
該驅動通過注冊關機回調在系統關機時該驅動會將自身在%%\目錄重新拷貝成隨機名字的新驅動文件，并將驅動信息寫入注冊表，以便于下一次時啟動加載。在驅動加載之
后，其會將locc.dll注入到.exe進程中。該驅動對locc.dll文件也進行了保護，當試圖修改或者刪除該動態庫時，會彈出錯誤提示”文件過大” 。
當病毒的驅動將locc.dll注入到.exe進程后會執行首頁劫持相關邏輯。通過火絨劍的內存轉儲，我們可以看到該病毒鎖定的所有網址。
l l l l l l l l l l l l l l l l l
通過抓取上述網址中的網頁信息，我們可以發現上述網址中存放的其實是一個跳轉頁。通過使用跳轉頁面，病毒作者可以靈活調整計費鏈接和推廣網址，并且對來自不同瀏覽器的流量進行分類統計。
三、解決方案
（1）不從不明網站下載軟件，不要點擊來源不明的郵件以及附件；
（2）及時給電腦打補?。?修復漏洞；
（3）盡量關閉不必要的文件共享權限以及關閉不必要的端口，如：445,135,139,3389等；
（4）安裝專業的終端/服務器安全防護軟件，深信服EDR能夠有效查殺該病毒。
探討滲透測試及黑客技術c檢測文件是否存在，請并私信我。#小白入行網絡安全# #安界網人才培養計劃#
【還在用工具激活系統？小心被當做礦機】本文到此結束，希望對大家有所幫助。

继夫的玩弄H辣文的小说|女人与拘性猛交视频|精品欧美高清不卡高清|一起做亏亏的事情的视频|啦啦啦在线视频观看|望月直播下载ios版本|国产日韩欧美一区二区三区

還在用工具激活系統？小心被當做礦機