騰訊安全:開啟檔案就中招 “老虎”挖礦木馬已感染超5000臺電腦

騰訊安全發表於2019-12-06

近期,騰訊安全御見威脅情報中心接到使用者求助,稱自己收到網友發來的“存取款記錄”訊息,出於好奇便點選開啟了其中以.exe為字尾的文件,發現並無“猛料”,自己卻落入了不法黑客的陷阱之中。


騰訊安全御見威脅情報中心近日監測發現一款通過社會工程騙術傳播的“老虎”挖礦木馬。攻擊者將木馬程式偽裝成“火爆新聞”、“色情內容”、“隱私資料”、“詐騙技巧”等虛假檔名,通過社交網路傳送到目標電腦,得手後植入大灰狼遠控木馬等惡意程式,竊取大量使用者個人隱私資訊,中毒電腦更可能遭到遠端控制。目前,該木馬已感染超5000臺電腦。因其挖礦使用的自建礦池包含字元“laofubtc”,騰訊安全技術專家將其命名為“老虎”挖礦木馬(LaofuMiner)。


據騰訊安全御見威脅情報中心監測資料統計,此次有數千家企業受到“老虎”挖礦木馬攻擊影響,北京、廣東、上海、河南、山東等地,成為本次攻擊受害較嚴重的區域。目前,騰訊電腦管家、騰訊安全終端安全管理系統已全面攔截並查殺該挖礦木馬,同時提醒廣大使用者保持安全警惕,切勿點選觀看該類虛假檔案以防中招。

騰訊安全:開啟檔案就中招 “老虎”挖礦木馬已感染超5000臺電腦

(圖:騰訊安全終端安全管理系統)


騰訊安全專家經過深入溯源分析後,發現“老虎”挖礦木馬同2018年發現的灰熊挖礦木馬(BearMiner)二者的檔案伺服器和礦池域名都指向相同的IP,可以推測“灰熊”和“老虎”挖礦木馬同屬一個黑產團伙。近日,“老虎”替代“灰熊”挖礦木馬呈現新的活躍趨勢。

騰訊安全:開啟檔案就中招 “老虎”挖礦木馬已感染超5000臺電腦

(圖:“老虎”挖礦木馬指向解析IP的域名列表)


據騰訊安全專家介紹,“老虎”挖礦木馬善於偽裝,利用多種欺騙手段隱藏自己,令普通使用者難覓蹤跡。首先該挖礦木馬會將檔案屬性偽裝成音訊裝置公司“Waves Audio”的相關資訊,並在首次執行後寫入大量垃圾資料到150MB,以此逃避防毒軟體檢測。此外,釋放礦機程式檔案還會偽裝成顯示卡製造商NVIDIA的驅動程式,佔用CPU資源高達97%,以此躲避查殺,導致系統嚴重卡頓無法正常執行。


在此次攻擊案例中,“大灰狼”遠控木馬作為一款老牌遠控工具,時至今日仍備受黑產圈喜愛。據報導,目前該木馬原始作者已經離世,但相關程式碼已流落黑產圈開源共享,不同的病毒木馬團伙對其定製改造後釋出了諸多變種肆意作惡。值得注意的是,該團伙經常使用漏洞、釣魚文件等手段傳播木馬,同時經營外掛、私服、流量劫持、後門安裝等非法交易,嚴重威脅使用者的資訊財產安全。


隨著黑產團伙技術手段不斷的進化,不管是對攻擊目標精挑細選,還是對技術手段不斷升級,黑產團伙的核心目的還是在於感染更多使用者電腦,攫取更高的收益。因此,如何抵禦黑產攻擊成為企業日常網路安全建設工作的重中之重。


面對來勢洶洶的“老虎”挖礦木馬,騰訊安全反病毒實驗室負責人馬勁鬆提醒廣大使用者保持良好的上網習慣,不要輕易點選來歷不明的檔案,對於可疑檔案可使用騰訊電腦管家和騰訊安全終端安全管理系統進行安全檢測。同時,開啟資源管理器資料夾選項中的“檢視已知檔案的副檔名”,可及時判斷檔案是否安全。對於已經“中招”的使用者,可以使用騰訊電腦管家等主流防毒軟體進行查殺清理。或採用手動清理方案,刪除以下檔案:C:\Program Files (x86)\Microsoft WavesSys\WavesSys.exe、C:\Program Files (x86)\Microsoft WavesSys\WavesSys.dll、C:\Program Files (x86)\Microsoft SvidaPaun\SvidaPaun.exe、C:\Program Files (x86)\Microsoft Hdejpp\Xtuzqan.exe。刪除以下服務:”Corporati Assemblies WavesSyse“、“Wszswc wyksdvuf”、“Wsxxsw ndcbxauv”。

騰訊安全:開啟檔案就中招 “老虎”挖礦木馬已感染超5000臺電腦

(圖:騰訊安全高階威脅檢測系統)


同時,建議企業使用者使用騰訊安全高階威脅檢測系統,基於騰訊安全在雲和端的海量資料積累形成的獨特威脅情報和惡意檢測模型系統,可幫助企業客戶預先檢測挖礦程式外聯等異常行為,防患於未然。

相關文章