罕見!驅動護體的挖礦病毒ProtectionX
1、挖礦病毒
近日,深信服安全團隊追蹤到一新型的挖礦病毒,該病毒與普通挖礦病毒有很大差異,普通挖礦沒有特殊防護,而該病毒採用了驅動進行防護,十分罕見。
與多數挖礦病毒一樣,感染主機會出現異常卡頓現象,且CPU佔用率過高。該病毒使用了驅動保護,無法通過工作管理員中止病毒程序,很難查殺。深信服已將該病毒命名為ProtectionX。
感染ProtectionX病毒後,系統中會存在3個程序:母體1sass.exe及其子程序wuauc1t.exe與win1ogon.exe,注意名稱中是“1”而不是“l”。其中win1ogon.exe程序佔用大量CPU資源。
嘗試終止1sass.exe程序,提示“拒絕訪問”。而終止wuauc1t.exe和win1ogon.exe程序後,又會重新起來!這裡,是因為有驅動保護了1sass.exe,而1sass.exe又防護了wuauc1t.exe與win1ogon.exe,環環相扣,多層護體。
2、行為分析
病毒執行流程如下:
主要包括3個模組:自保護、持久化以及挖礦模組。其中自保護模組用於保護病毒母體程序不被殺掉,持久化模組新增開機自啟動,挖礦模組會進行挖礦並殺掉別的挖礦程序以及其他一些CPU佔用高的程序。
2.1 病毒檔案
病毒母體1sass.exe為一個win32程式,加了VMP殼。
2.2 自保護模組
釋放ProcessExtended.dll模組到本目錄並載入。
呼叫ProcessProtectionX函式。
ProcessProtectionX函式首先釋放一個驅動檔案到%Temp%目錄,驅動檔名由7個隨機的字母加數字組成。
安裝驅動,服務名為hy5.5。
與驅動通訊,將自身程序ID傳送給驅動。
驅動中使用了SSDT HOOK,HOOK掉了NtOpenProcess從而實現程序保護。
刪除驅動檔案。
2.3 持久化模組
為1sass.exe新增自啟動,登錄檔路徑為
“HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font”。
2.4 挖礦模組
挖礦模組包含兩個程序:wuauc1t.exe和win1ogon.exe。由1sass.exe釋放並執行,隨後進入迴圈對這兩個程序程序守護。
2.4.1 搶佔資源
wuauc1t.exe的功能為搶佔CPU資源,由1sass.exe釋放到同一目錄下並執行,執行時傳入引數“win1ogon.exe”。
首先遍歷系統程序並獲取其CPU佔用率。“Process\ % Processor Time”用於獲取過程的所有執行緒在每個處理器上的處理器時間總和。
獲取除傳入引數“win1ogon.exe”、本程序以及“explorer.exe”以外的CPU佔用較高的程序。
終止掉CPU佔用較高的其他程序以及其他挖礦程序。
終止的其他挖礦程序列表如下:
2.4.2 挖礦
win1ogon.exe為挖礦程序,也是由1sass.exe釋放到同一目錄下並執行。礦池為pool.minexmr.com:7777。
有了其他兩個程序的保駕護航,挖礦程序可以最大限度的利用系統資源進行挖礦。
3、解決方案
病毒防禦
1、及時給電腦打補丁,修復漏洞。
2、對重要的資料檔案定期進行非本地備份。
3、更改賬戶密碼,設定強密碼,避免使用統一的密碼。
4、可以嘗試使用PC Hunter強制刪除並結束程序1sass.exe、wuauc1t.exe、win1ogon.exe。
5、刪除登錄檔項HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font。
最後,建議企業對全網進行一次安全檢查和防毒掃描,加強防護工作。