每天感染1000臺(tái)設(shè)備,這款惡意軟件專為挖礦而來、已開采出超過9000個(gè)XMR幣
責(zé)編:gltian |2021-07-06 13:19:53
摘要
一款在攻擊過程中利用Windows安全模式的加密貨幣挖礦惡意軟件被發(fā)現(xiàn),每天約有1,000臺(tái)設(shè)備被攻擊,全球已有超過22.2萬臺(tái)機(jī)器被感染。該惡意軟件至少從2018年6月就開始蔓延,最新版本于2020年11月發(fā)布。研究人員表示,只要人們還下載破解的軟件,惡意軟件就會(huì)一直蔓延下去。
名為Crackonosh的惡意軟件
一款在攻擊過程中濫用Windows安全模式的加密貨幣挖礦惡意軟件被發(fā)現(xiàn),它通過盜版和破解軟件傳播,并經(jīng)常出現(xiàn)在torrents, forums, 和 “warez “網(wǎng)站中。
Avast的研究人員將這種惡意軟件稱為Crackonosh。該惡意軟件至少從2018年6月就開始蔓延,第一個(gè)受害者是運(yùn)行偽裝成合法軟件的破解版軟件而被攻擊。
每天約有1,000臺(tái)設(shè)備被攻擊,全球已有超過22.2萬臺(tái)機(jī)器被感染。
主要利用系統(tǒng)算力和資源來挖掘門羅幣(XMR)(一種加密貨幣)。Crackonosh總共產(chǎn)生了至少200萬美元的門羅幣,有超過9000個(gè)XMR幣被開采出來。
到目前為止,該惡意軟件的30個(gè)變種已被確認(rèn),最新版本于2020年11月發(fā)布。
感染流程
啟動(dòng)
感染鏈從一個(gè)安裝程序和一個(gè)修改Windows注冊(cè)表的腳本開始,允許主要的惡意軟件可執(zhí)行文件在安全模式下運(yùn)行。被感染的系統(tǒng)被設(shè)置為在下次啟動(dòng)時(shí)以安全模式啟動(dòng)。
抗殺軟
當(dāng)Windows系統(tǒng)處于安全模式時(shí),殺毒軟件就不會(huì)工作。這使得惡意的Serviceinstaller.exe能夠輕易地禁用和刪除Windows Defender。它還使用WQL查詢所有安裝的殺毒軟件SELECT * FROM AntiVirusProduct.
Crackonosh將檢查防病毒程序的存在,如Avast、Kaspersky、McAfee的掃描器、Norton和Bitdefender – 并嘗試禁用或刪除它們。然后擦除日志系統(tǒng)文件以掩蓋其痕跡。
阻止Windows更新
Crackonosh還將試圖停止Windows更新,并將用一個(gè)假的綠色勾選托盤圖標(biāo)取代Windows安全。
挖礦
最后,部署了一個(gè)XMRig,這是一個(gè)加密貨幣礦工,利用系統(tǒng)算力和資源來挖掘門羅幣(XMR)(一種加密貨幣)。
Avast研究人員表示,只要人們還下載破解的軟件,惡意軟件就會(huì)一直蔓延下去.
來源:FreeBuf.COM
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧