欢迎访问本站!

首页科技正文

万利矿业(www.ipfs8.vip):隐匿在广告阻挡工具中的矿机

admin2021-05-2251新闻

不久前,我们发现了许多冒充应用程序,它们向用户盘算机提供了Monero加密钱币矿工。它们通过可能会泛起在受害者搜索效果中的恶意网站举行分发。从外面上看,它似乎是与Avast相关的恶意流动的延续。那时,网络犯罪分子以Malwarebytes防病毒安装程序的名义散布了恶意软件。

在最新的广告系列中,我们看到了由恶意软件冒充的多个应用程序:广告阻挡器AdShield和Netshield以及OpenDNS服务。本文仅剖析伪造的AdShield应用,但所有其他情形都遵照相同的场景。

手艺细节

该恶意软件以adshield [。] pro的名称分发,可以模拟Windows版本的AdShield移动广告阻挡器。用户启动程序后,它将更改装备上的DNS设置,以便通过攻击者的服务器剖析所有域,从而阻止用户接见某些防病毒站点,例如Malwarebytes.com。

替换DNS服务器后,恶意软件将通过运行带有参数self-upgrade(“ C:\ Program Files(x86)\ AdShield \ updater.exe” -self-upgrade)的update.exe来最先自我更新。Updater.exe与C&C联系,并发送有关受熏染盘算机的数据以及有关安装的信息。可执行文件中的某些行(包罗带有C&C服务器地址的行)已加密,从而使静态检测加倍难题。

包罗加密地址的Updater.exe代码段

Updater.exe从站点Tran *** issionbt [。] org下载并运行Tran *** ission torrent客户端的修改版本(原始刊行版本可以在Tran *** issionbt.com上找到)。修改后的程序将安装信息以及被熏染盘算机的ID发送到C&C,并从中下载挖掘模块。

通知C&C安装乐成

挖掘模块由正当的辅助库,一个名为data.pak的加密矿工文件,可执行文件flock.exe和“ license”文件lic.data组成。后者包罗模块所要使用的机械的某些参数以及data.pak文件中的数据的SHA-256十六进制哈希。修改后的传输客户端运行flock.exe,该程序首先盘算受熏染盘算机的参数的哈希值和data.pak文件中的数据,然后将其与lic.data文件中的哈希值举行对照。这是必须的,由于C&C为每台机械天生唯一的文件集,以阻止静态检测并阻止矿工在种种虚拟环境中运行和剖析。

若是哈希值不匹配,则执行将住手。否则,flock.exe使用AES-128-CTR算法从data.pak文件中解密数据,从而从存储在示例代码中的几部门中组合解密密钥和初始化向量。解密会天生一个Qt二进制资源文件,该文件包罗两个可执行文件:开源XMRig矿工(夏日攻击中使用的统一个矿工)和bxsdk64.dll库。

解密的data.pak文件

bxsdk64.dll文件是BoxedApp SDK的一部门,用于确立虚拟环境,但在这种情形下,它用于以正当应用程序find.exe为幌子运行矿机。要害是要实现其功效,bxsdk会阻挡对系统函数的挪用并可以操作其执行。在这种情形下,BoxedAppSDK_CreateVirtualFileA函数在C:\ ProgramData \ Flock目录中确立find.exe文件(它是C:\ Windows \ System32 \ find.exe文件的副本)。使用find.exe举行的所有其他操作均在RAM中举行,而且不会影响磁盘上的文件。当find.exe历程启动时,bxsdk截获该事宜并从C:\ ProgramData \ Flock目录运行该文件。然后,使用WriteProcessMemory和CreateRemoteThread函数将解密的矿工主体注入历程内存中。

为了确保矿工的延续运行,在Windows Task Scheduler中确立了一个servicecheck_XX义务,其中XX是随机数。该义务运行flock.exe的说法最小化。

统计数据

凭证卡巴斯基平安网络的数据,在撰写本文时,自2021年2月最先,已经实验在跨越7,000名用户的装备上安装伪造的应用程序。在当前战争的岑岭期,天天有2500多名唯一用户受到攻击,大多数受害者位于俄罗斯和独联体国家。

2020年8月– 2021年2月受到攻击的用户数目

卡巴斯基平安解决方案通过以下判断检测到上述威胁:

· Win64.Patched.netyyk

· Win32.DNSChanger.aaox

· Win64.Miner.gen

· HEUR:Trojan.Multi.Miner.gen

若何删除矿工

若是在您的装备上检测到QtWinExtras.dll文件,请重新安装Malwarebytes。若是“ Malwarebytes”不在应用程序列表中,则需要删除磁盘上的以下所有文件夹:

· %程序文件%\ malwarebytes

,

USDT线下交易

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

· 程序文件(x86)\ malwarebytes

· %windir%\。old \ program files \ malwarebytes

· %windir%\。old \ program文件(x86)\ malwarebytes

若是在您的装备上检测到flock.exe:

· 卸载NetshieldKit,AdShield,卸载或重新安装OpenDNS(以装备上安装的任何一个为准)。

· 重新安装Tran *** ission torrent客户端,或在不需要时将其卸载。

· 删除文件夹(若是磁盘上存在)

   · C:\ ProgramData \ Flock

   · %allusersprofile%\最先菜单\程序\启动\群

   · %allusersprofile%\最先菜单\程序\启动\ flock2

· 在Windows Task Scheduler中删除servicecheck_XX义务(其中XX是随机数)。

IOC

DNS

142[.]4[.]214[.]15

185[.]201[.]47[.]42

176[.]31[.]103[.]74

37[.]59[.]58[.]122

185[.]192[.]111[.]210

Domains

adshield[.]pro

tran *** issionbt[.]org

netshieldkit[.]com

opendns[.]info

Hashes

5aa0cda743e5fbd1d0315b686e5e6024 (AdShield installer)

81BC965E07A0D6C9E3EB0124CDF97AA2 (updater.exe)

ac9e74ef5ccab1d5c2bdd9c74bb798cc (modified Tran *** ission installer)

9E989EF2A8D4BC5BA1421143AAD59A47 (NetShield installer)

2156F6E4DF941600FE3F44D07109354E (OpenDNS installer)

本文翻译自:https://securelist.com/ad-blocker-with-miner-included/101105/

IPFS挖矿

IPFS挖矿官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

网友评论