一:木马概述
30安全中心收到用户反馈,电脑使用一段时间后会异常缓慢。分析相关文档后发现,这是一种利用用户电脑资源的恶意挖矿木马。我们将其命名为IdleBuddyMiner。令人惊讶的是,木马在准备挖矿之前会弹出一个对话框,这是对用户的一个文学提醒,需要使用用户的计算机资源进行复杂的计算,操作就是使用用户的CPU来挖门罗币。
二:木马分析
特洛伊木马作为引导服务运行。运行后,它启动线程,连接到服务器,下载加密的资源,然后解密内存以便执行。
下载加密数据3360
下载的文件是一个挖掘模块,由开源代码xmrig(https://github.com/xmrig)修改
到目前为止,只有360等少数公司能干掉:
三:相关文件md5
150 af 54958 BD E0 DBF 7 C1 f 42 f 495 ca 867
97463 C5 CEA 66270d 529 c 0710 e 9606 b91
8 ddf 5757673057 df 01 ed 3 b 14 EB 3 AE 5b 7
四:安全提醒
最近挖矿木马非常活跃,不法分子开始尝试“不寻常”的挖矿方式,让人防不胜防。建议用户在电脑卡慢的时候用安全软件扫描。同时,他们应该注意确保安全软件始终处于防御状态。一旦被诱导,不小心中招,要尽快使用360安全卫士查杀清除木马。
此外,360安全卫士还推出了反挖矿功能,全面防御各种渠道入侵的挖矿木马。用户开启该功能后,360安全卫士会实时拦截各类挖矿木马攻击,保护用户电脑安全。
