恶意软件“挖矿进行时”三天造成500000币民受害！

5月17日，Canthink网络安全攻防研究所发现了一个大规模的恶意软件活动，且在短短三天内使超50000个币民受害。

据悉，这项运动以Windows计算机为目标，它的核心是一款名为WinstarNssmMiner的新型恶意软件。WinstarNssmMiner是目前典型的加密货币挖矿恶意软件，基于开源和合法的门罗币（Monero）挖掘工具XMRig。

虽然Canthink研究人员并没有说明WinstarNssmMiner是如何传播的，但他们表示，这是当今市场上活跃的加密货币挖矿活动所特有的，典型的WinstarNssmMiner模式操作如下：

如果用户检测到隐藏的挖掘操作并尝试关闭与XMRig关联的svchost.exe进程，则恶意软件会使用户的PC崩溃，然后该PC就需重启。这是因为恶意软件将svchost.exe进程的属性设置为“CriticalProcess”，因此Windows在恶意进程终止时会关闭PC。

据Canthink研究人员介绍，这个恶意软件团队已利用WinstarNssmMiner成功挖出了133个门罗币，价格约为28000美元。

此外，Canthink研究人员还发现了一个与之完全相反加密货币挖矿（coinminer）活动——IdleBuddyMiner，它不是在受感染的主机上偷偷摸摸地开采Monero，而是通过弹出窗口请求许可。

由IdleBuddyMiner显示的弹出窗口

值得注意的是，Canthink安全团队还发现了第三次采矿活动，这个活动通过一个已知的PUP——“One System Care”（一个隐藏在清理缓存程序中的工具）传播。

我们是『康众智防』

Network Security Product

你可能还想看

↓ 这世上本没有赞，点的人多了，也就有了