“太极挂机”程序彻底清除,你还敢用吗?
近日,网上盛行一种“太极挂机”软件,宣称只需下载运行该软件无需任何操作能够轻松挂机挣钱。360安全中心经剖析发觉,所谓的挂机网赚只是木马病毒的旗号。包括“太极挂机软件”在内的多款类似恶意程序一旦被用户下载并安装,不但会大量占用CPU资源进行挖矿操作,都会在用户机器上传播感染型木马,更有甚者,直接给笔记本添加上MBR密码使用户难以正常登陆系统!
披着“轻松网赚”名号的木马极易诱使网民中招挂机软件,360安全卫士无需升级能够拦截这种木马,保持安全软件常开即可有效防御;据悉,一旦发觉笔记本出现CPU占用过低、发热变慢等情况,应尽早使用360安全卫士查杀木马;同时,倘若出现系统被锁的情况,可使用360系统急救箱对MBR进行修补后,再使用安全卫士全盘扫描彻底消除木马。
下边就以“太极挂机”程序进行简单剖析:
图1
“太极挂机”主要行为流程简图:
图2
一、挖矿行为:
程序运行后检查没有被调试后便开始挖门罗币,挖门罗币的矿池、钱包等信息:
图3
图4
挖矿时CPU几乎被100%占用:
图5
上述剖析得到门罗币皮夹地址:
这个皮夹共有20个门罗币,以当前的门罗币兑人民币总价估算,总额达到约3.7亿元人民币。
图6
图7
二、添加开机MBR锁密码:
该挂机程序当测量到有调试类程序运行时则会立刻更改笔记本的MBR添加密码并退出挖矿程序挂机软件,被更改MBR后须要输入其设置的随机密码能够正常开机!!
图8
图9
然后程序都会更改MBR,更改后的MBR如右图所示:MBR锁密码为随机生成的14位大小写字母+AAAA:
图10
图11
三、感染:
减去上行为外,形意挂机软件都会释放出去年比较流行的感染型木马(不过剖析人员怀疑该行为并非挂机软件作者自己有意而为之,而是作者的开发环境本身也中了木马造成开发出的木马程序也被该木马感染所引起的二次传播),如右图所示:代码段.rmnet就是感染型木马的核心代码,该代码段被设置为程序入口点所在段,在程序运行后被最先执行:
图12
挂机挖矿程序运行后会在Files目录下创建\.exe可执行程序。.exe启动IE的浏览器的进程.exe,并将.exe地址空间替换成木马的恶意代码,后续的感染html文件、可执行文件及网路通讯都是通过被替换的.exe进程来实现的。据悉木马就会更改注册表项HKLM\\\NT\\\,来达到开机启动的目的。
木马就会感染笔记本中的所有.html或.htm后缀的网页,在.html或.htm文件中添加如下的功击代码:
图13
图14
结语:
随着虚拟币的盛行,巨大利益催生了挖矿蓝色产业链,不法分子开始尝试“不同寻常”的挖矿之路,让民防不胜防。用户应注意提升防范意识,请勿轻信所谓的网赚挂机程序的欺骗提示(如杀毒软件误报-添加信任运行等)。注意保证安全软件的常开以进行防御,同时,一旦受诱导而不慎中招,尽早使用360安全卫士全盘查杀消除木马。
图15
图16
标签: mbr
