1、挖礦病毒

近日，有安全研究人員追蹤到一新型的挖礦病毒，該病毒與普通挖礦病毒有很大差異，普通挖礦沒有特殊防護，而該病毒不但有還是采用了驅動進行防護，十分驚悚。

與多數挖礦病毒一樣，感染主機會出現異常卡頓現象，且CPU占用率極高。該病毒使用了驅動保護，無法通過任務管理器中止病毒進程，很難查殺。深信服已將該病毒命名為ProtectionX。

感染ProtectionX病毒后，系統中會存在3個進程：母體1sass.exe及其子進程wuauc1t.exe與win1ogon.exe，注意名稱中是“1”而不是“l”。其中win1ogon.exe進程占用大量CPU資源。

嘗試終止1sass.exe進程，提示“拒絕訪問”。而終止wuauc1t.exe和win1ogon.exe進程后，又會重新起來！這里，是因為有驅動保護了1sass.exe，而1sass.exe又防護了wuauc1t.exe與win1ogon.exe，環環相扣，多層護體。

2、行為分析

病毒執行流程如下：

主要包括3個模塊：自保護、持久化以及挖礦模塊。其中自保護模塊用于保護病毒母體進程不被殺掉，持久化模塊添加開機自啟動，挖礦模塊會進行挖礦并殺掉別的挖礦進程以及其他一些CPU占用高的進程。

2.1 病毒文件

病毒母體1sass.exe為一個win32程序，加了VMP殼。

2.2 自保護模塊

釋放ProcessExtended.dll模塊到本目錄并加載。

調用ProcessProtectionX函數。

ProcessProtectionX函數首先釋放一個驅動文件到%Temp%目錄，驅動文件名由7個隨機的字母加數字組成。

安裝驅動，服務名為hy5.5。

與驅動通信，將自身進程ID發送給驅動。

驅動中使用了SSDT HOOK，HOOK掉了NtOpenProcess從而實現進程保護。

刪除驅動文件。

2.3 持久化模塊

為1sass.exe添加自啟動，注冊表。

2.4 挖礦模塊

挖礦模塊包含兩個進程：wuauc1t.exe和win1ogon.exe。由1sass.exe釋放并運行，隨后進入循環對這兩個進程進程守護。

2.4.1 搶占資源

wuauc1t.exe的功能為搶占CPU資源，由1sass.exe釋放到同一目錄下并運行，運行時傳入參數“win1ogon.exe”。

首先遍歷系統進程并獲取其CPU占用率。“Process\ % Processor Time”用于獲取過程的所有線程在每個處理器上的處理器時間總和。

獲取除傳入參數“win1ogon.exe”、本進程以及“explorer.exe”以外的CPU占用較高的進程。

終止掉CPU占用較高的其他進程以及其他挖礦進程。

終止的其他挖礦進程列表如下：

2.4.2 挖礦

win1ogon.exe為挖礦進程，也是由1sass.exe釋放到同一目錄下并運行。礦池為pool.minexmr.com:7777。

有了其他兩個進程的保駕護航，挖礦進程可以最大限度的利用系統資源進行挖礦。

3、解決方案

經常檢測查殺病毒

病毒防御

1）及時給電腦打補丁，修復漏洞。

2）對重要的數據文件定期進行非本地備份。

3）更改賬戶密碼，設置強密碼，避免使用統一的密碼。

4）可以嘗試使用PC Hunter強制刪除并結束進程1sass.exe、wuauc1t.exe、win1ogon.exe。

最后，建議各企業對全網進行一次安全檢查和殺毒掃描，加強防護工作。