匿影挖矿攻击
概述
该病毒打包了方程式攻击工具包,在内网中利用永恒之蓝(Eternalblue)和双脉冲星(DoublePulsar)进行横向传播,被感染的电脑首先会解析特定URL上的内容,然后进行挖矿(门罗币、BEAM币)、对抗杀软等操作,最终组成其僵尸网络中的一员“匿影”病毒家族,大部分恶意模块均采用VMP保护,包括驱动对抗程序,为提高分析的成本,增加分析难度。而且恶意病毒的下载传播的服务器空间,均使用三方服务、网盘、图床,很难捕捉其真实地址。
挖矿名称 | 匿影 |
---|---|
涉及平台 | Windows平台 |
相关恶意代码家族 | 匿影、Generic |
攻击入口 | 使用永恒之蓝漏洞 |
相关漏洞及编号 | CVE-2017-0144 |
描述简介 | 此病毒利用白加黑手法,通过NSA泄露工具包,永恒之蓝等漏洞进行横向传播,执行powershell脚本进行挖矿,感染传播,并且释放驱动对抗杀软。此病毒主要挖门罗币和Handshake(hns),通过f2pool矿池进行挖矿。 |
自查方法
1.检查任务管理器中是否存在MicrosftEdgeCP.exe进程;
2.检查任务计划里是否存在名为csapu的计划任务;
3.检查C:\ProgramData路径下是否存在Officekms.exe、WinRing0x64.sys、Gtt.exe、Go.exe、Nb.exe、Office.exe。
文件名 | 功能 |
---|---|
Officekms.exe | 挖矿程序 |
WinRing0x64.sys | CPU信息检出 |
Gtt.exe | 挖矿,驱动保护 |
Go.exe | 挖矿,驱动保护 |
Nb.exe | 挖矿程序 |
Office.exe | 横向传播,漏洞利用 |
如何清除
1、关闭任务管理器中进程;
2、结束计划任务中的计划任务;
3、删除指定路径下的恶意程序;
4、安装终端杀毒对全盘进行扫描;