細思極恐!挖礦病毒ProtectionX利用驅動保駕護航區塊鏈
近日,有安全研究人員追蹤到一新型的挖礦病毒,該病毒與普通挖礦病毒有很大差異,普通挖礦沒有特殊防護,而該病毒不但有還是采用了驅動進行防護,十分驚悚。
1、挖礦病毒
近日,有安全研究人員追蹤到一新型的挖礦病毒,該病毒與普通挖礦病毒有很大差異,普通挖礦沒有特殊防護,而該病毒不但有還是采用了驅動進行防護,十分驚悚。
與多數挖礦病毒一樣,感染主機會出現異常卡頓現象,且CPU占用率極高。該病毒使用了驅動保護,無法通過任務管理器中止病毒進程,很難查殺。深信服已將該病毒命名為ProtectionX。
感染ProtectionX病毒后,系統中會存在3個進程:母體1sass.exe及其子進程wuauc1t.exe與win1ogon.exe,注意名稱中是“1”而不是“l”。其中win1ogon.exe進程占用大量CPU資源。
嘗試終止1sass.exe進程,提示“拒絕訪問”。而終止wuauc1t.exe和win1ogon.exe進程后,又會重新起來!這里,是因為有驅動保護了1sass.exe,而1sass.exe又防護了wuauc1t.exe與win1ogon.exe,環環相扣,多層護體。
2、行為分析
病毒執行流程如下:
主要包括3個模塊:自保護、持久化以及挖礦模塊。其中自保護模塊用于保護病毒母體進程不被殺掉,持久化模塊添加開機自啟動,挖礦模塊會進行挖礦并殺掉別的挖礦進程以及其他一些CPU占用高的進程。
2.1 病毒文件
病毒母體1sass.exe為一個win32程序,加了VMP殼。
2.2 自保護模塊
釋放ProcessExtended.dll模塊到本目錄并加載。
調用ProcessProtectionX函數。
ProcessProtectionX函數首先釋放一個驅動文件到%Temp%目錄,驅動文件名由7個隨機的字母加數字組成。
安裝驅動,服務名為hy5.5。
與驅動通信,將自身進程ID發送給驅動。
驅動中使用了SSDT HOOK,HOOK掉了NtOpenProcess從而實現進程保護。
刪除驅動文件。
2.3 持久化模塊
為1sass.exe添加自啟動,注冊表。
2.4 挖礦模塊
挖礦模塊包含兩個進程:wuauc1t.exe和win1ogon.exe。由1sass.exe釋放并運行,隨后進入循環對這兩個進程進程守護。
2.4.1 搶占資源
wuauc1t.exe的功能為搶占CPU資源,由1sass.exe釋放到同一目錄下并運行,運行時傳入參數“win1ogon.exe”。
首先遍歷系統進程并獲取其CPU占用率。“Process\ % Processor Time”用于獲取過程的所有線程在每個處理器上的處理器時間總和。
獲取除傳入參數“win1ogon.exe”、本進程以及“explorer.exe”以外的CPU占用較高的進程。
終止掉CPU占用較高的其他進程以及其他挖礦進程。
終止的其他挖礦進程列表如下:
2.4.2 挖礦
win1ogon.exe為挖礦進程,也是由1sass.exe釋放到同一目錄下并運行。礦池為pool.minexmr.com:7777。
有了其他兩個進程的保駕護航,挖礦進程可以最大限度的利用系統資源進行挖礦。
3、解決方案
經常檢測查殺病毒
病毒防御
1)及時給電腦打補丁,修復漏洞。
2)對重要的數據文件定期進行非本地備份。
3)更改賬戶密碼,設置強密碼,避免使用統一的密碼。
4)可以嘗試使用PC Hunter強制刪除并結束進程1sass.exe、wuauc1t.exe、win1ogon.exe。
最后,建議各企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。