用戶名:密 碼:注冊|找回密碼設置首頁 |財經日報旗下網站

                    當前位置 > 首頁 > 國內新聞 > 科技新聞 > “美人蝎”挖礦木馬再度來襲 利用Windows系統組件啟動

                    “美人蝎”挖礦木馬再度來襲 利用Windows系統組件啟動

                    發布時間:2018-09-30 16:16來源:中華網王芊倩字號:

                      如今,各種電腦軟件中,圖片都是極其常見的數據,優美的風景、風姿綽約的美女,在感受視圖大餐的同時,你是否能想到不法黑客正在通過圖片入侵你的系統?近期,騰訊御見威脅情報中心監測發現,“美人蝎”挖礦木馬新變種從9月開始感染量出現上漲。該挖礦木馬延續“美人蝎”礦工木馬的部分特點,如從下載的圖片中獲取惡意代碼,通過多種礦機挖取多種數字加密貨幣等,同時也有若干新特性,嚴重威脅個人用戶網絡安全。

                      據騰訊電腦管家安全專家介紹,目前該木馬可利用有微軟數字簽名的白應用加載惡意代碼,可有效騙過系統安全功能和殺毒軟件的攔截;在運行期間,該木馬檢測到任務管理器進程,就暫停門羅幣挖礦進程,防止用戶觀察到異常系統資源占用。另外,它還會監控剪切板內容,若中毒電腦進行以太坊幣或比特幣交易,資金就會轉入病毒作者控制的錢包地址。

                      早在今年5月,騰訊御見威脅情報中心監測就發現了一款名為“美人蝎”的挖礦木馬,利用美女圖片加密傳遞礦池信息,隱藏在各類輔助軟件中進行傳播。該木馬不僅利用超隱蔽的DNS隧道通信技術對抗殺毒軟件的檢測,還深諳“不把雞蛋放在一個籃子里”的道理,同時開挖4種加密貨幣防控風險,上演了一連串的“美人心計”。

                    (圖:“美人蝎”礦工木馬)

                      值得一提的是,“美人蝎”挖礦木馬變種對殺毒軟件明顯心存畏懼。據分析發現,該病毒木馬作者在啟動階段利用NSSM服務管理工具,將Powershell惡意腳本安裝為服務,使惡意代碼難以檢測,由服務來持續判斷當前環境是否已經感染成功,若未成功則重新下載木馬進行感染。惡意軟件運行前,會檢查用戶電腦是否運行常見的安全軟件,如果發現有安裝安全軟件,則會選擇退出以躲避查殺。因而,這個新變種發布后近兩個月的時間里,其挖礦收益甚微。從錢包支付記錄來看,該挖礦木馬從8月1號開始上線,目前僅挖得門羅幣3.82個。

                    (圖:“美人蝎”挖礦木馬變種作者錢包)

                      “美人蝎”挖礦木馬變種上述躲避行為,說明殺毒軟件對該類型的木馬病毒具有相當的震懾力。對此,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松表示,隨著殺毒軟件的安裝普及率和查殺能力的提高,該木馬無奈選擇此種逃避策略躲避查殺,因而其危害相對較小,但仍不可忽視。針對該木馬選擇性地入侵未安裝安全軟件的電腦的特點,他提醒廣大用戶應及時下載安裝騰訊電腦管家等軟件,做好電腦自身防御工作,避免不必要的損失。

                    (圖:騰訊電腦管家全面攔截查殺該木馬)

                      目前,“美人蝎”挖礦木馬主要隱藏于一些盜版、破解、激活、游戲外掛等小工具軟件中傳播。基于此,馬勁松提醒廣大用戶,務必提高網絡安全防范意識,養成良好的上網習慣,不要隨意點擊來路不明的網站鏈接,不要隨意使用破解、激活工具,建議安裝并保持騰訊電腦管家等安全軟件實時開啟狀態,可有效攔截病毒木馬的攻擊。

                    (財編:黃潮潔)

                    定位胆个位5码必中规律