只用12小时,挖矿恶意软件就感染了约50万台电脑

阅读量135923

发布时间 : 2018-03-09 14:59:00

x
译文声明

本文是翻译文章,文章原作者 Mohit Kumar,文章来源:thehackernews.com

原文地址:https://thehackernews.com/2018/03/cryptocurrency-mining-malware.html

译文仅供参考,具体内容表达以及含义原文为准。

 

几天前,微软阻击并成功拦截了一款传播迅速的密币挖掘恶意软件,后者仅在12小时内就感染了近50万台电脑。

这款恶意软件被称为 “Dofoil” 即 “Smoke Loader”,它在受感染的且挖掘以利坊 (Electroneum) 密币的 Windows 电脑中释放了一个密币挖矿程序作为 payload,从而利用受害者的 CPU进行挖矿。

 

Dofoil 快速传播

3月6日,Windows Defender 突然检测到 Dofoil 多个变体的8万多个实例,随后在12小时内实例数量达到40多万个。

微软 Windows Defender 团队发现这些实例快速传播到俄罗斯、土耳其和乌克兰,它们携带者一个伪装成合法 Windows 二进制的数字货币挖掘payload。

然而,微软并未提及这些实例如何在如此短的时间内设法传播到如此大规模的范围。

 

利用“process hollowing”注入技术挖掘以利坊

Dofoil 使用一款自定义挖矿应用来挖掘不同的密币,但在这次传播活动中,它仅挖掘以利坊。

研究人员指出,Dofoil 木马使用的是古老的代码注入技术即“冷注入 (process hollowing)”,利用恶意代码生成一个合法进程的新实例以便运行恶意代码,欺骗进程工具以及反病毒工具误以为运行的是原始进程。研究人员指出,“被挖空的 (hollowed) explorer.exe 进程随后拉起恶意实例,后者释放并伪装成合法 Windows 二进制 wuauclt.exe 运行密币挖矿恶意软件。”

为了长时间地停留在受感染系统上并使用被盗计算机资源挖掘以利坊,Dofoil 木马更改 Windows 注册表。

研究人员指出,“被挖空的 explorer.exe 进程在 Roaming AppData 文件夹中创建了原始恶意软件的副本并将其更名为 ditereah.exe。随后它创建一个注册表键或更改现有注册表键指向新建的恶意软件副本。在我们所分析的样本中,恶意软件修改了 OneDrive Run 注册表键。”

Dofoil 还连接到托管在去中心化的 Namecoin 网络基础设施上的一台远程 C&C 服务器并监听新命令,包括安装其它的恶意软件。

微软表示 Windows Defender Antivirus 团队使用的行为监控和基于人工智能的机器学习技术在检测并拦截这起大规模恶意软件攻击活动中发挥了重要作用。

本文翻译自thehackernews.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66