g u t x .com.tr İpek yolu - Çin'i anlamaya götürürüm

1. Olgunun tanımı

Kısa süre önce Sangfor EDR güvenlik ekibi, WindowsLoader aktivasyon yazılımı olarak gizlenmiş bir virüs örneği yakaladı. Analizden sonra, numunenin etkinleştirme işlevi yoktur ve ana işlevi reklam yazılımı ve madencilik programları kurmaktır.

Madencilik programı, sistem sürecini yukarı çekecek ve madencilik kodunu içine enjekte edecek ve taskmgr.exe işlemini döngüsel olarak izleyecektir. Taskmgr.exe işlemi tespit edilirse, madencilik sonlandırılacak ve kurbanın tespit edilmesi daha zor hale gelecektir.

2. Davranış analizi

2.1 Virüs anne

Windows Yükleyici olarak gizlenmiş virüs matrisi simgesi:

Aslında CreateInstall tarafından yapılan bir kurulum paketidir:

Kurulum arayüzü:

Aşağıdaki dosyaları C: \ Program Files (x86) \ KMSPico 10.2.1 Final dizinine bırakın ve WINLOADER_SETUP.BAT komut dosyasını çalıştırın.

WINLOADER_SETUP.BAT sırasıyla WindowsLoader.exe, Registry_Activation_2751393056.exe ve activation.exe'yi çalıştırır.

Hem WindowsLoader.exe hem de Registry_Activation_2751393056.exe reklam yazılımıdır ve activation.exe bir madencilik programıdır.

2.2 WindowsLoader.exe

İlki WindowsLoader.exe.Virüs yazarının belli ki bir fotoğrafçı olduğu ve program kaynaklarına en sevdiği sanat fotoğraflarını (mozaik işleme) eklemeyi unutmadığı görülebilir.

WindowsLoader.exe kurulum arayüzü:

RunBooster'ı indirip kuracak:

RunBooster hizmetini yükleyin:

RunBoosterUpdateTask yükseltme görev programı:

RunBooster'ın paket yakalama davranışı:

2.3 Registry_Activation_2751393056.exe

Registry_Activation_2751393056.exe kurulum arayüzü:

İşlevde bir sorun var, indirilen exe dosyasının bir soneki yok:

2.4 activation.exe

Öncelikle, Yerel dizinde yeni bir cypjMERAky klasörü oluşturun ve kendinizi aşağıya kopyalayın.

Kayıt defteri otomatik başlatma öğelerini ekleyin.

Taskmgr.exe işleminin olup olmadığını kontrol edin.

Taskmgr.exe işlemi yoksa, wuapp.exe sistem işlemini açın, parametre "-a cryptonight -o stratum + tcp: //xmr.pool.minergate.com: 45560 -uminepool@gmx.com -px -t 2 ".

Madencilik programını wuapp.exe işlemine enjekte edin.

Madencilik programı açık kaynak kodlu cpuminer-multi 1.2-dev'dir.

Döngüye girin, kayıt defterinin kendi kendine başlatma öğesini koruyun ve taskmgr.exe işlemini algılayın, algılanırsa wuapp.exe'yi sonlandırın.

Üç, çözüm

(1) Bilinmeyen web sitelerinden yazılım indirmeyin ve bilinmeyen kaynaklara sahip e-postalara ve eklere tıklamayın;

(2) Güvenlik açıklarını düzeltmek için bilgisayarı zamanında düzeltin;

(3) Gereksiz dosya paylaşım izinlerini ve 445,135,139,3389 vb. Gibi gereksiz bağlantı noktalarını kapatmayı deneyin;

(4) Profesyonel terminal / sunucu güvenlik koruma yazılımını kurun ve EDR'nin virüsü etkili bir şekilde kontrol edip öldürebileceğine ikna olunur.

* Yazar: Clairvoyance Security Labs, lütfen FreeBuf.COM'dan belirtin

Önümüzdeki on yıl içinde Çin'in teknolojik yeniliği için fırsatlar nerede? Cevabı verdiler 2018 NetEase Future Technology Summit

Ölümün eşiğinde savaşan çılgın bir adam, ölümsüz savaşçı Cheng Yaojin

Görme engelliler için "Uçan Hayat" gösterimleri, kanlı hikaye yankılanıyor

2017 Chicago Lollapalooza Müzik Festivali Canlı Direkt! Yeniden bir sokak şovu "inşa et"!

150.000 bütçe ile ne satın alabilirim? Bu modeller sizi hayal kırıklığına uğratmayacak

91. Oscar Ödülleri'nin derinlemesine yorumu: Çok sayıda canavar yaptım, sonuç nedir?

Phantom-Evasion: çoğu anti-virüs yazılımını atlayan arka kapı programları oluşturabilir

En hızlı büyüyen bu 12 üniversite, onlara gittiğinizde kazanılır!

Supreme logolarıyla dolu 2017 sonbahar ve kış kazakları ortaya çıktı; YEEZY SEASON 5 gitmeye hazır! Fast Food

Dongfeng Fengxing SX6, Temmuz ayında 1.5T motorla piyasaya sürülecek

"Yeşil Kitap", En İyi Film Oscarları da dahil olmak üzere üç ödül kazandı, 1 Mart'ta yayınlandı ve izleyicileri ısıtmak için posterin Çince versiyonunu sergiledi

Zhaoyun online ormancı GANK başarılı olmazsa kaybederim.