近日，火絨安全團(tuán)隊(duì)截獲新蠕蟲病毒“SyncMiner” ，該病毒在政府、企業(yè)、學(xué)校、醫(yī)院等單位的局域網(wǎng)中具有很強(qiáng)的傳播能力。該病毒通過網(wǎng)絡(luò)驅(qū)動器和共享資源目錄（共享文件夾）迅速傳播，入侵電腦后，會利用被感染電腦挖取“門羅幣”，造成CPU占用率高達(dá)100%，并且該病毒還會通過遠(yuǎn)程服務(wù)器下載其他病毒模塊，不排除盜號木馬、勒索病毒等。

      根據(jù)火絨安全團(tuán)隊(duì)分析發(fā)現(xiàn)，蠕蟲病毒“SyncMiner”會將自己復(fù)制到網(wǎng)絡(luò)驅(qū)動器和共享資源目錄，并偽裝成視頻文件夾，誘使用戶點(diǎn)擊病毒文件，從而激活病毒，并通過添加計(jì)劃任務(wù)和開機(jī)啟動項(xiàng)的方式駐留在系統(tǒng)中。其中，病毒將計(jì)劃任務(wù)偽裝為Java運(yùn)行庫的更新進(jìn)程，在繼續(xù)傳播的同時進(jìn)行挖礦；將開機(jī)啟動項(xiàng)偽裝為Adobe更新進(jìn)程，檢測并恢復(fù)病毒文件，使病毒屢殺不絕。

 

      目前，火絨“企業(yè)版”和“個人版”最新版均可徹底查殺蠕蟲病毒“SyncMiner”。同時，政府、企業(yè)、醫(yī)院、學(xué)校等受此類病毒威脅較大的局域網(wǎng)用戶，我們建議申請安裝“火絨企業(yè)版”，可有效防御局域網(wǎng)內(nèi)病毒屢殺不絕的難題。目前火絨免費(fèi)提供三個月試用期，歡迎大家前來體驗(yàn)試用。

SyncMiner蠕蟲詳細(xì)分析

      該病毒在運(yùn)行后會將自身拷貝到%Appdata%\Java Sun和%AppData%\Roaming\Adobe路徑下，利用計(jì)劃任務(wù)和注冊表項(xiàng)實(shí)現(xiàn)病毒自啟動。該病毒會通過映射的網(wǎng)絡(luò)驅(qū)動器和網(wǎng)絡(luò)中的共享資源進(jìn)行傳播，并在被感染的機(jī)器上挖取門羅幣。除此之外，病毒會向C&C服務(wù)器下載并執(zhí)行其他的病毒模塊。病毒的總體邏輯，如下圖所示：

 

病毒總體邏輯

      該蠕蟲病毒會將自身復(fù)制到映射的網(wǎng)絡(luò)驅(qū)動器和共享資源目錄中，并將病毒命名為video.scr，配合其具有誘導(dǎo)性的圖標(biāo)，欺騙用戶點(diǎn)擊病毒文件，從而激活攜帶的惡意代碼。感染后的共享文件夾，如下圖所示：

 

被病毒感染的共享文件夾

      當(dāng)病毒運(yùn)行時，會判斷傳遞給病毒進(jìn)程的參數(shù)，當(dāng)參數(shù)為“sync”時，會把病毒文件拷貝到%Appdata%\Java Sun路徑下，并將其注冊成名為“SunJavaUpdateSched”的計(jì)劃任務(wù)。代碼邏輯，如下圖所示：

將病毒注冊為計(jì)劃任務(wù)

      注冊的計(jì)劃任務(wù)在每天8:00觸發(fā)后，每隔15分鐘重復(fù)一次，觸發(fā)器在2040年1月1日過期，操作為“%Appdata%\Roaming\Java Sun\jucheck.exe begin”。計(jì)劃任務(wù)屬性，如下圖所示：

 

注冊的計(jì)劃任務(wù)屬性

      計(jì)劃任務(wù)對應(yīng)的病毒進(jìn)程在運(yùn)行時，會利用當(dāng)前計(jì)算機(jī)挖礦，挖礦時計(jì)算機(jī)CPU會高達(dá)100%，容易被安全軟件發(fā)現(xiàn)并清除。為了使得病毒更長久的駐留在系統(tǒng)中，病毒還將自身拷貝到%AppData%\Roaming\Adobe目錄下，將其命名為UpdaterStartupUtility.exe，偽裝成Adobe升級程序，并通過注冊表設(shè)置為開機(jī)啟動項(xiàng) “AdobeAAMUpdater”。這樣做的目的是，如果計(jì)劃任務(wù)對應(yīng)的病毒被清除，當(dāng)系統(tǒng)再次重啟之后，病毒可以恢復(fù)計(jì)劃任務(wù)與對應(yīng)的病毒文件，從而繼續(xù)執(zhí)行惡意代碼。病毒邏輯，如下圖所示：

注冊為開機(jī)啟動項(xiàng)

1. 傳播方式

      該蠕蟲病毒具有很強(qiáng)的內(nèi)網(wǎng)傳播能力，其傳播方式有兩種。第一種是通過映射的網(wǎng)絡(luò)驅(qū)動器進(jìn)行傳播，該病毒會枚舉注冊表（HKEY_CURRENT_USER\Network）下關(guān)于當(dāng)前系統(tǒng)映射的網(wǎng)絡(luò)驅(qū)動器，并將蠕蟲病毒拷貝到存在的網(wǎng)絡(luò)驅(qū)動器根目錄下。相關(guān)代碼邏輯，如下圖所示：

 

病毒利用網(wǎng)絡(luò)驅(qū)動器傳播

      第二種是利用共享資源進(jìn)程傳播，病毒會獲取當(dāng)前系統(tǒng)的ip地址，從而獲得當(dāng)前網(wǎng)絡(luò)所屬的網(wǎng)段，然后病毒會掃描當(dāng)前網(wǎng)段中開放的139端口和445端口，若存在開放這些端口的計(jì)算機(jī)，則會檢索有關(guān)計(jì)算機(jī)上每個共享資源的信息，并且檢測與共享資源有關(guān)的安全描述符是否可用，若可用，則會獲取當(dāng)前共享資源的名稱，并將病毒拷貝到此共享下。相關(guān)代碼邏輯，如下圖所示：

 

病毒利用共享資源進(jìn)行傳播

2. 挖取門羅幣

      該蠕蟲病毒在傳播到受害者機(jī)器上之后會利用受害者機(jī)器的計(jì)算能力來挖取門羅幣，病毒使用的門羅幣錢包地址首筆交易記錄是在2018年1月9日。挖礦的錢包地址和礦池，如下圖所示：

 

錢包和礦池

      病毒使用的門羅幣錢包信息，如下圖所示：

 

門羅幣錢包信息

      病毒會將存儲在PE鏡像中的多份配置文件相關(guān)的數(shù)據(jù)恢復(fù)成完整的配置文件，然后獲取其中的配置信息開始挖礦。相關(guān)代碼邏輯，如下圖所示：

 

恢復(fù)配置文件并開始挖礦

      礦工登錄礦池時的網(wǎng)絡(luò)數(shù)據(jù)，如下圖所示：

 

登錄礦池時的網(wǎng)絡(luò)數(shù)據(jù)

3. 下載執(zhí)行其他病毒模塊

      該病毒除了以上的病毒功能之外，還會從C&C服務(wù)器（hxxp://data28.somee.com/data.zip）下載執(zhí)行其他的病毒模塊（不排除盜號病毒，勒索病毒等）。病毒從C&C服務(wù)器下載病毒邏輯，如下圖所示：

 

從C&C服務(wù)器下載病毒

      執(zhí)行下載的病毒模塊，代碼邏輯，如下圖所示：

 

運(yùn)行下載的病毒模塊 

附錄

      文中涉及樣本SHA256：

 

標(biāo)簽： 安全 代碼 服務(wù)器 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。