火绒安全团队截获蠕虫病毒，使病毒屡杀不绝

该蠕虫病毒会将自身复制到网络驱动器和共享资源目录中，并伪装成文件夹，通过添加计划任务和启动项，诱骗用户点击病毒文件激活病毒并驻留在系统中。 其中，病毒将定时任务伪装成Java运行库的更新过程，一边继续传播一边挖矿； 它将启动项伪装成Adobe更新进程，检测并恢复病毒文件，反复查杀病毒。

1.蠕虫详细分析

病毒运行后会将自身复制到%%\Java Sun和%%\\Adobe路径下，并利用计划任务和注册表项实现病毒自启动。 该病毒通过映射的网络驱动器和网络内的共享资源进行传播，并在受感染的机器上挖掘门罗币。

病毒的整体逻辑

该蠕虫会将自身复制到映射的网络驱动器和共享资源目录中，并将病毒命名为video.scr，并通过其诱导图标诱骗用户点击病毒文件，从而激活其携带的恶意代码。

共享文件夹被病毒感染

病毒运行时，会判断传递给病毒进程的参数。 当参数为“sync”时，病毒文件将被复制到%%\Java Sun路径下，并注册为名为“”的计划任务。

2. 挖掘门罗币

蠕虫传播到受害者机器后，会利用受害者机器的算力来挖掘门罗币。 病毒使用的门罗币钱包地址第一笔交易记录为2018年1月9日。挖矿钱包地址和矿池，如下图：

病毒会将PE镜像中存储的多个配置文件相关数据恢复成完整的配置文件，然后获取配置信息开始挖矿。

另外，该病毒除了上述病毒功能外，还会从C&C服务器（hxxp:///data.zip）下载并执行其他病毒模块（不排除盗号病毒、勒索病毒等）。

免责声明：本站所有文章，除特别说明或标注外，均为本站原创并发表。 未经本站同意，任何个人或组织不得复制、盗用、转载本站内容或将本站内容发布到任何网站、图书或其他媒体平台。 若本站内容侵犯原作者合法权益，请联系我们处理。

冰普通用户