1. Olgunun tanımı
Kısa süre önce Sangfor EDR güvenlik ekibi, WindowsLoader aktivasyon yazılımı olarak gizlenmiş bir virüs örneği yakaladı. Analizden sonra, numunenin etkinleştirme işlevi yoktur ve ana işlevi reklam yazılımı ve madencilik programları kurmaktır.
Madencilik programı, sistem sürecini yukarı çekecek ve madencilik kodunu içine enjekte edecek ve taskmgr.exe işlemini döngüsel olarak izleyecektir. Taskmgr.exe işlemi tespit edilirse, madencilik sonlandırılacak ve kurbanın tespit edilmesi daha zor hale gelecektir.
2. Davranış analizi
2.1 Virüs anne
Windows Yükleyici olarak gizlenmiş virüs matrisi simgesi:
Aslında CreateInstall tarafından yapılan bir kurulum paketidir:
Kurulum arayüzü:
Aşağıdaki dosyaları C: \ Program Files (x86) \ KMSPico 10.2.1 Final dizinine bırakın ve WINLOADER_SETUP.BAT komut dosyasını çalıştırın.
WINLOADER_SETUP.BAT sırasıyla WindowsLoader.exe, Registry_Activation_2751393056.exe ve activation.exe'yi çalıştırır.
Hem WindowsLoader.exe hem de Registry_Activation_2751393056.exe reklam yazılımıdır ve activation.exe bir madencilik programıdır.
2.2 WindowsLoader.exe
İlki WindowsLoader.exe.Virüs yazarının belli ki bir fotoğrafçı olduğu ve program kaynaklarına en sevdiği sanat fotoğraflarını (mozaik işleme) eklemeyi unutmadığı görülebilir.
WindowsLoader.exe kurulum arayüzü:
RunBooster'ı indirip kuracak:
RunBooster hizmetini yükleyin:
RunBoosterUpdateTask yükseltme görev programı:
RunBooster'ın paket yakalama davranışı:
2.3 Registry_Activation_2751393056.exe
Registry_Activation_2751393056.exe kurulum arayüzü:
İşlevde bir sorun var, indirilen exe dosyasının bir soneki yok:
2.4 activation.exe
Öncelikle, Yerel dizinde yeni bir cypjMERAky klasörü oluşturun ve kendinizi aşağıya kopyalayın.
Kayıt defteri otomatik başlatma öğelerini ekleyin.
Taskmgr.exe işleminin olup olmadığını kontrol edin.
Taskmgr.exe işlemi yoksa, wuapp.exe sistem işlemini açın, parametre "-a cryptonight -o stratum + tcp: //xmr.pool.minergate.com: 45560 -uminepool@gmx.com -px -t 2 ".
Madencilik programını wuapp.exe işlemine enjekte edin.
Madencilik programı açık kaynak kodlu cpuminer-multi 1.2-dev'dir.
Döngüye girin, kayıt defterinin kendi kendine başlatma öğesini koruyun ve taskmgr.exe işlemini algılayın, algılanırsa wuapp.exe'yi sonlandırın.
Üç, çözüm
(1) Bilinmeyen web sitelerinden yazılım indirmeyin ve bilinmeyen kaynaklara sahip e-postalara ve eklere tıklamayın;
(2) Güvenlik açıklarını düzeltmek için bilgisayarı zamanında düzeltin;
(3) Gereksiz dosya paylaşım izinlerini ve 445,135,139,3389 vb. Gibi gereksiz bağlantı noktalarını kapatmayı deneyin;
(4) Profesyonel terminal / sunucu güvenlik koruma yazılımını kurun ve EDR'nin virüsü etkili bir şekilde kontrol edip öldürebileceğine ikna olunur.
* Yazar: Clairvoyance Security Labs, lütfen FreeBuf.COM'dan belirtin