广西快乐十分开奖网:蠕虫病毒“SyncMiner”来袭,可渗入局域网、感染电脑挖掘“门罗币”

2018 年 6 月 28 日 0 条评论 107 次阅读 0 人点赞

广西快乐十分大小走势 www.u3ug.cn 近日,火绒安全团队截获新蠕虫病毒“SyncMiner” ,该病毒在政府、企业、学校、医院等单位的局域网中具有很强的传播能力。该病毒通过网络驱动器和共享资源目录(共享文件夹)迅速传播,入侵电脑后,会利用被感染电脑挖取“门罗币”,造成CPU占用率高达100%,并且该病毒还会通过远程服务器下载其他病毒???,不排除盗号木马、勒索病毒等。

蠕虫病毒“SyncMiner”会将自己复制到网络驱动器和共享资源目录,并伪装成文件夹,诱使用户点击病毒文件,从而激活病毒,并通过添加计划任务和开机启动项的方式驻留在系统中。其中,病毒将计划任务伪装为Java运行库的更新进程,在继续传播的同时进行挖矿;将开机启动项伪装为Adobe更新进程,检测并恢复病毒文件,使病毒屡杀不绝。

一、SyncMiner蠕虫详细分析
该病毒在运行后会将自身拷贝到%Appdata%\Java Sun和%AppData%\Roaming\Adobe路径下,利用计划任务和注册表项实现病毒自启动。该病毒会通过映射的网络驱动器和网络中的共享资源进行传播,并在被感染的机器上挖取门罗币。
蠕虫病毒“SyncMiner”来袭,可渗入局域网、感染电脑挖掘“门罗币”

病毒总体逻辑
该蠕虫病毒会将自身复制到映射的网络驱动器和共享资源目录中,并将病毒命名为video.scr,配合其具有诱导性的图标,欺骗用户点击病毒文件,从而激活携带的恶意代码。

被病毒感染的共享文件夹
当病毒运行时,会判断传递给病毒进程的参数,当参数为“sync”时,会把病毒文件拷贝到%Appdata%\Java Sun路径下,并将其注册成名为“SunJavaUpdateSched”的计划任务。

二、挖取门罗币
该蠕虫病毒在传播到受害者机器上之后会利用受害者机器的计算能力来挖取门罗币,病毒使用的门罗币钱包地址首笔交易记录是在2018年1月9日。挖矿的钱包地址和矿池,如下图所示:
蠕虫病毒“SyncMiner”来袭,可渗入局域网、感染电脑挖掘“门罗币”

病毒会将存储在PE镜像中的多份配置文件相关的数据恢复成完整的配置文件,然后获取其中的配置信息开始挖矿。

另外,该病毒除了以上的病毒功能之外,还会从C&C服务器(hxxp://data28.somee.com/data.zip)下载执行其他的病毒??椋ú慌懦梁挪《?,勒索病毒等)。

ice

这个人太懒什么东西都没留下

  • 【永定门奥迪中心车型报价】永定门奥迪中心4S店车型价格 2019-06-18
  • “自己做不到的事情,还看不得别人做”.....好像目前正在热议的特朗谱长公主伊万卡在推特上引用的一句“中国谚语”.....巧合吗? 2019-06-17
  • 回复@笑傲江湖V:蠢货!就算用刷点软件也是有成本的啊,一个点击一分钱,也得七十多万,咱钱再多也不会这么烧吧? 2019-06-17
  • 修文法院妥善处置一起“误报”被执行人转移财产执行案件 2019-06-17
  • 《習水古茶树》新书出版座谈会在京举行 2019-06-17
  • 侯晓春会见岳剑利一行 2019-06-16
  • 优化部省合作机制 服务国家重大战略 2019-06-14
  • 其实逻辑很简单,分配既涉及消费资料又涉及生产资料,消费资料可以按需分配,生产资料就必须按能力意愿行动及生成的结果分配了。 2019-06-14
  • 第十一届中国(郑州)国际园林博览会开幕 2019-06-13
  • “巾帼心向党 建功新时代”天津十九大女代表分享会 2019-06-12
  • 航天科工董事长高红卫:制造业即将进入特殊历史阶段 2019-06-04
  • 吓出一身冷汗!比利时击败巴拿马不轻松 2019-06-02
  • 广西防城港市港口区:学习十九大精神 推进产业与生态融合发展 2019-05-28
  • 别不信,我用你看范丞丞的60块搭出一场时髦浪潮 2019-05-28
  • 意大利葡萄酒之旅:品味西西里葡萄酒的独特风情西西里Pantelleria 2019-05-28
  • 260| 21| 742| 906| 669| 320| 733| 7| 967| 712|