腾讯御见：WannaMine挖矿木马再活跃，14万台linux系统受攻击，广东省为重灾区

显示全部楼层 · 发表于 2019-8-22 15:03:43

据腾讯御见威胁情报中心报道，WannaMine挖矿木马再活跃，自2019年6月开始在国内呈现新的快速增长趋势，目前已影响近14万台设备。病毒感染地区分布前三名分别为：广东（20.3%）、江苏（7.7%）、浙江（7%）。
木马危害：
1）窃取设备信息，包括guid、IP、桌面截图、系统和CPU等

2）窃取加密货币钱包信息，浏览器各类网站登录信息

3）占用计算资源进行XMR挖矿

4）被控制成为肉鸡，接受命令进行DDOS攻击

传播渠道：
木马作者利用人们不愿意为收费软件付费，喜欢使用破解版软件的心理，将木马植入各类“破解版”、“完整版”、“注册机”程序当中，然后上传到网站提供下载，用户一旦下载使用便会中招。

传播木马的网站hxxps://www.4allprograms.net提供andriod、windows、Mac等系统的各类激活版软件，其中系统激活、office激活、图像处理类软件注册机都存在木马植入。

发现木马的部分软件名（下载时对应文件名）：
Corel_All_Products_Keygen_Activator_2018_Full_Version.exe
Winrhizo_software_free.exe
EaseUS_Data_Recovery_Wizard_11_9_0.exe
ARTEAM_MAKAIWARS_v_01_04_01_MOD_1_SIGNED.exe
Microsoft_Toolkit_2_7.exe
Microsoft_Office_2016_Activation_Key_List_Free_Dow.exe
0x4木马分析
4.1.Ctask.exe分析
木马启动时伪装为进程名ctask.exe，拷贝自身到ProgramData\目录然后将自身删除、并释放用于下载update.exe木马的VBS、注意力币文件。

木马拷贝自身到programdata目录

木马释放VBS、注意力币路径
VBS通过shell执行注意力币
注意力币利用certutil下载执行木马update.exe
（本文源自网络，由新视区块链整理。）

————/END/————

【新视区块链直播平台】正式上线啦！长按识别下方图中二维码进入直播平台，以全新融媒体的方式带您了解区块链☟ 正在直播哦~

回复白皮书免费下载最新最权威的白皮书

回复区块链从0到1了解区块链技术

回复直播联系我们，提供专业的区块链直播服务，适用于峰会、培训等多场景

腾讯御见：WannaMine挖矿木马再活跃，14万台linux系统受攻击，广东省为重灾区

相关帖子