細思極恐!挖礦病毒ProtectionX利用驅動保駕護航區塊鏈

                  區塊鏈安全檔案 2018-09-27 07:32
                  分享到:
                  導讀

                  近日,有安全研究人員追蹤到一新型的挖礦病毒,該病毒與普通挖礦病毒有很大差異,普通挖礦沒有特殊防護,而該病毒不但有還是采用了驅動進行防護,十分驚悚。

                  1、挖礦病毒

                  近日,有安全研究人員追蹤到一新型的挖礦病毒,該病毒與普通挖礦病毒有很大差異,普通挖礦沒有特殊防護,而該病毒不但有還是采用了驅動進行防護,十分驚悚。

                  與多數挖礦病毒一樣,感染主機會出現異常卡頓現象,且CPU占用率極高。該病毒使用了驅動保護,無法通過任務管理器中止病毒進程,很難查殺。深信服已將該病毒命名為ProtectionX。

                  感染ProtectionX病毒后,系統中會存在3個進程:母體1sass.exe及其子進程wuauc1t.exe與win1ogon.exe,注意名稱中是“1”而不是“l”。其中win1ogon.exe進程占用大量CPU資源。

                  嘗試終止1sass.exe進程,提示“拒絕訪問”。而終止wuauc1t.exe和win1ogon.exe進程后,又會重新起來!這里,是因為有驅動保護了1sass.exe,而1sass.exe又防護了wuauc1t.exe與win1ogon.exe,環環相扣,多層護體。

                  2、行為分析

                  病毒執行流程如下:

                  主要包括3個模塊:自保護、持久化以及挖礦模塊。其中自保護模塊用于保護病毒母體進程不被殺掉,持久化模塊添加開機自啟動,挖礦模塊會進行挖礦并殺掉別的挖礦進程以及其他一些CPU占用高的進程。

                  2.1 病毒文件

                  病毒母體1sass.exe為一個win32程序,加了VMP殼。

                  2.2 自保護模塊

                  釋放ProcessExtended.dll模塊到本目錄并加載。

                  調用ProcessProtectionX函數。

                  ProcessProtectionX函數首先釋放一個驅動文件到%Temp%目錄,驅動文件名由7個隨機的字母加數字組成。

                  安裝驅動,服務名為hy5.5。

                  與驅動通信,將自身進程ID發送給驅動。

                  驅動中使用了SSDT HOOK,HOOK掉了NtOpenProcess從而實現進程保護。

                  刪除驅動文件。

                  2.3 持久化模塊

                  為1sass.exe添加自啟動,注冊表。

                  2.4 挖礦模塊

                  挖礦模塊包含兩個進程:wuauc1t.exe和win1ogon.exe。由1sass.exe釋放并運行,隨后進入循環對這兩個進程進程守護。

                  2.4.1 搶占資源

                  wuauc1t.exe的功能為搶占CPU資源,由1sass.exe釋放到同一目錄下并運行,運行時傳入參數“win1ogon.exe”。

                  首先遍歷系統進程并獲取其CPU占用率。“Process\ % Processor Time”用于獲取過程的所有線程在每個處理器上的處理器時間總和。

                  獲取除傳入參數“win1ogon.exe”、本進程以及“explorer.exe”以外的CPU占用較高的進程。

                  終止掉CPU占用較高的其他進程以及其他挖礦進程。

                  終止的其他挖礦進程列表如下:

                  2.4.2 挖礦

                  win1ogon.exe為挖礦進程,也是由1sass.exe釋放到同一目錄下并運行。礦池為pool.minexmr.com:7777。

                  有了其他兩個進程的保駕護航,挖礦進程可以最大限度的利用系統資源進行挖礦。

                  3、解決方案

                  經常檢測查殺病毒

                  病毒防御

                  1)及時給電腦打補丁,修復漏洞。

                  2)對重要的數據文件定期進行非本地備份。

                  3)更改賬戶密碼,設置強密碼,避免使用統一的密碼。

                  4)可以嘗試使用PC Hunter強制刪除并結束進程1sass.exe、wuauc1t.exe、win1ogon.exe。

                  最后,建議各企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。

                  進程 病毒 exe 驅動 進行
                  分享到:

                  1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
                  2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
                  3.作者投稿可能會經TMT觀察網編輯修改或補充。