病毒团伙活动报告抓鸡狂魔
这是一个双平台采矿木马Windows在中毒电脑和手机上运行门罗币挖掘程序,安卓双平台版。Windows版本MServicesX_FULL.exe在游戏下载站的帮助下,当数字签名文件,木马的安卓版伪装成Youtube视频播放器……靠山
御见威胁情报中心发现了一个双平台挖掘木马Windows在中毒电脑和手机上运行门罗币挖掘程序,安卓双平台版。Windows版本MServicesX_FULL.exe在游戏下载站的帮助下,当数字签名文件,木马的安卓版伪装成Youtube中毒用户在手机上看视频播放器Youtube在视频中,病毒会在后台运行门罗币挖掘程序,从而增加手机发烧,缩短续航时间。
挖木马Windows版本运行后释放bat剧本,将bat剧本安装为启动项,然后下载执行Powershell代码。Powershell代码的功效包括:下载执行CPU以及GPU挖掘木马挖门罗币,检查特定目录下的木马文件是否存在,如果不存在,重新下载木马进行安装。
通过扩散分析还发现了一批数字签名不同的同类样本(部门签名已被出版机构吊销),根据病毒追溯分析,挖掘木马主要通过游戏软件传播。为了招募游戏玩家,病毒传播者还建议玩家关闭杀毒软件。
采矿木马具有以下特点:
- 木马样本使用多个正当数字签名(包括签名)Spinex Solutions Ltd”、“extrebal limited”、“kupui ltd等),部门签名已被出版商吊销;l 病毒自升级模块Update64.exe设定为计划义务,每3每小时下载更新一次;
- 通过添加启动项下载PowerShell剧本,由PowerShell下载采矿机进行采矿;
- 熏制安卓系统的矿机伪装成youtube当中毒用户在手机上运行病毒时,视频播放器流传APP看视频时,手机会在后台挖矿;
- 病毒追溯发现,病毒家族主要通过游戏下载站xxxxxxxgames.com游戏安装包流传。
根据腾讯皇家威胁情报中心的监测数据,采矿木马最近表现活跃,木马在广东、江苏衍,在广东、江苏和香港的特别行政区排名前三。该病毒最近的吸烟量也有很大的颠簸。
详细剖析
木马文件MServicesX_FULL.exe有合法的数字签名16qp limited部门杀毒软件无法实时查杀。
MServicesX_FULL.exe运行后释放文件Roaming,其中包罗一个MSI安装文件和升级程序update64.exe。
MServices X –pro injct.msi是Windows Installer安装程序。
Windows Installer手艺由客户端安装程序服务(Msiexec.exe) 和Microsoft软件安装(MSI)组成软件包文件。Msiexec.exe 程序是 Windows Installer 组件MSI文件的时刻,Msiexec.exe 当被安装程序调用时,它将被使用 Msi.dll 读取软件包文件 (.msi)、应用转换文件 (.mst) 并合并安装程序提供的命令行选项。 Windows Installer 执行所有与安装有关的义务:包括将文件复制到硬盘上,修改注册表,建立桌面快捷方式,必要时显示提醒对话框,以便用户输入安装首选。
安装包运行后释放文件C:\ProgramFiles\SystemaNatives\MServicesX 目录,将update64.exe安装是计划义务,每三小时运行一次,设置文件update64.ini下载中记录木马更新文件URL,将木马更新为最新版本。
此MSI安装和包装运行时自然会出生AppLoaderHelpers.xml并设置计划义务,并在计划义务中指定以下程序:
C:\Users\garryvm\Downloads\xmrig-2.4.3-msvc-win64\ProcessInjector\0.0.1\InjectProc.exe
以其路径为依据“xmrig”来看,准备执行的是门罗币挖矿程序,Author中包罗的“garryvm-PC”疑似与作者有关。
将计划义务文件的路径特征“garry vm”在御见威胁情报中心查询,发现大量类似PDB信息木马,类型包括特洛伊木马、采矿木马等,木马有被出版商直接吊销的签名。
吊销签名
在Common Files文件在目录中释放restore.bat并添加到启动项中
通过restore.bat执行Powershell剧本hxxps://77.mycfg.site/files/restore_org_inj.ps1
在Powershell剧本执行完成以下功效:
1032f.exe到Temp开始挖掘过程;
2cuda9-270b.exe到Temp开始挖掘过程;
3. 检测指定目录下的文件是否存在。如果没有,下载安装包进行安装。
032f.exe是基于OpenCL采矿程序,挖矿参数:
--auto,--no-cpu,--any,--forever,--variation,11,-o,pool.masari.hashvault.pro:80,-u,5hw694rarFjGB5BGKF3T1LgD7Mpp2rmTnRiuMr5AajwabZLQS4nGR65UKXrGn38CBNepWpS1NVM212vxFmxEKNEy2S56QXA,-p,j32fGPU:x@x.com
cuda9-270b.exe是基于NVIDIA CUDA采矿程序的操作框架,挖矿参数:
-B,--no-color,-r,50,-o,pool.masari.hashvault.pro:80,-u,5hw694rarFjGB5BGKF3T1LgD7Mpp2rmTnRiuMr5AajwabZLQS4nGR65UKXrGn38CBNepWpS1NVM212vxFmxEKNEy2S56QXA,-p,CUDA9:x@x.com,--variant,1,-k
矿池:
pool.masari.hashvault.pro:80
钱包:
5hw694rarFjGB5BGKF3T1LgD7Mpp2rmTnRiuMr5AajwabZLQS4nGR65UKXrGn38CBNepWpS1NVM212vxFmxEKNEy2S56QXA
钱包状态:
扩散剖析
数字署名
通过腾讯御见威胁情报中心对类似样本的扩散分析,发现了许多具有合法签名的类似样本,包括Spinex Solutions Ltd”、“extrebal limited”、“kupui ltd”等。
有趣的是,该公司的注册地点显示在英国,签名信息中的电子邮件大多接受公司董事名@公司网站名.co.uk然而,公司的详细业务尚不清楚,公司的官方网站也无法接受。木马作者可以注册皮包公司并申请签名,或者正式公司的签名可能被盗。
Android矿机
在木马C2还发现了地址Android程序安装包youtubeplayerx2.apk。从文件名可以看出,安卓病毒会冒充youtube播放器传播。
Android矿机运行界面(无法接入外网手机,无法正常播放Youtube视频)
剖析youtubeplayerx2.apk文件,发现Lib目录包括共享库文件libnative-lib.so和libuv.so,分为ARM版(arm64-v8a,armebi-v7a)和x86(x86,x86_64)版,支持ARM架构以及X86架构装备。
剖析libnative-lib.so该文件的现实是开源门罗币挖掘程序XMRig的android编译版。
(libnative-lib.so导出函数)
注意!双平台挖矿木马MServicesX借用白签名避免杀毒软件
(采矿参数选项)
(编译信息)
溯源
分析发现木马主要通过游戏安装包传播,游戏下载网站xxxxxxxgames.com下载并安装各种游戏,在运行过程中释放木马文件。
游戏安装说明还会提醒关闭杀毒软件。
平安建议
1.通过正规渠道下载软件和游戏程序,腾讯电脑管家阻止电脑端;
2.关注电脑显卡GPU如发现资源占用异常,可使用平安软件进行进一步检测;
3、不要在Android手机上运行来历不明程序,建议安卓智能手机用户使用腾讯手机管家防御可能的病毒攻击。
IOCs
IP
188.138.70.227
85.25.74.57
85.25.207.153
85.25.177.168
195.144.21.199
195.144.21.143
域名
cdn.mycfg.site
cdn.mycfg.host
cdn.mycfg.bid
cdn.systemupdates.host
cdn.windows-service-updater.site
p.getconfig.site
p.getget.site
p.mycfg.bid
p.mycfg.host
p.mycfg.site
ws.mycfg.bid
cdn.getcfg.site
upd.dns.tires
upd.cfg.ooo
cdn.areare.website
cdn.myrar.website77.super-me.online
77.mycfg.site
URL
hxxp://cdn.mycfg.site/files/j033a.exe
hxxp://cdn.mycfg.site/files/jclm.exe
hxxp://cdn.mycfg.site/files/cuda9-270b.exe
hxxp://cdn.mycfg.site/files/032g.exe
hxxp://cdn.mycfg.site/files/032f.exe
hxxp://cdn.mycfg.site/files/mservicesx_full.exe
hxxp://cdn.mycfg.site/files/j031a.exe
hxxp://cdn.mycfg.site/files/64h.exe
hxxp://cdn.mycfg.site/files/avninja.exe
hxxp://cdn.mycfg.site/files/NanoServicePack_FULL.exe
hxxp://cdn.mycfg.site/files/bin/rev/118822
hxxp://cdn.mycfg.site/files/cud8.exe
hxxp://cdn.mycfg.site/files/bin/rev/118731
hxxps://cdn.mycfg.site/files/MServicesX_FULL.exe
hxxp://cdn.mycfg.site/files/bin/rev/118727
hxxps://cdn.mycfg.site/files/NanoServicePack_FULL.exe
hxxp://cdn.mycfg.site/favicon.ico
hxxp://cdn.mycfg.site/files/bin/rev/11879
hxxp://cdn.mycfg.site/files/cud8exe
hxxp://cdn.mycfg.site/files/jce032a.exe
hxxps://cdn.mycfg.site/files/youtubeplayerx2.apk
hxxp://cdn.mycfg.site/files/amd64.exe
hxxp://cdn.mycfg.site/files/bin/rev/dgsfjhsgdfjhsgdnks
hxxp://cdn.mycfg.site/files/revservicesx_full.exe
hxxp://cdn.mycfg.site/files/MServicesX.exe
hxxp://cdn.mycfg.host/files/bin/rev/118821
hxxp://cdn.mycfg.host/files/bin/rev/2
hxxp://cdn.mycfg.host/files/bin/rev/11887
hxxps://cdn.mycfg.bid/files/NanoServicePack_FULL.exe
md5
136df08fbf49a48f5f1afc1d60224368
705d7e76bd19729cf9ef54df7d3f0626
2262a474d55d11dc37ed8dc0ddd4c5f7
98057764bfd02accd0caaa07bbcd6d46
78e56ad0b044b11506fac99e1d9ab0e5
8733eb6d65702bb83e3f6fa7e022cdbc
2717c2680b5dc71731eda23821738817
cd4cb8c5569a1866ab4d2f315861b3a1
ebfa2f9945b94b4851da8ae90a205ba6
4811fb1927534cfe3a70406eab421df1
931e2c08a862ca9f65be0b0a796c9e93
8e6b5f8172defc7ec01a5b6118317da5
a10b6029c7b68f1f8d59dd8418399aba
a98e642cc325384dc03182e424fda3d9
7fe90acdd370797db8c51719e33934e0
fc945274e2e86e85f0d98e131093a9ef
fb481fcb3f53fb13397a0eb327c7b8e6
803a7dce76339db44cc93422e19de7ee
290400324591e7b934c9553ece03187c
Darkcomet木马变成了抓鸡狂魔 腾讯电脑管家准确查杀