騰訊安全：打開(kāi)文件就中招 “老虎”挖礦木馬已感染超5000臺(tái)電腦

近期，騰訊安全御見(jiàn)威脅情報(bào)中心接到用戶求助，稱自己收到網(wǎng)友發(fā)來(lái)的“存取款記錄”消息，出于好奇便點(diǎn)擊打開(kāi)了其中以.exe為后綴的文檔，發(fā)現(xiàn)并無(wú)“猛料”，自己卻落入了不法黑客的陷阱之中。

騰訊安全御見(jiàn)威脅情報(bào)中心近日監(jiān)測(cè)發(fā)現(xiàn)一款通過(guò)社會(huì)工程騙術(shù)傳播的“老虎”挖礦木馬。攻擊者將木馬程序偽裝成“火爆新聞”、“ 內(nèi)容”、“隱私資料”、“詐騙技巧”等虛假文件名，通過(guò)社交網(wǎng)絡(luò)發(fā)送到目標(biāo)電腦，得手后植入大灰狼遠(yuǎn)控木馬等惡意程序，竊取大量用戶個(gè)人隱私信息，中毒電腦更可能遭到遠(yuǎn)程控制。目前，該木馬已感染超5000臺(tái)電腦。因其挖礦使用的自建礦池包含字符“laofubtc”，騰訊安全技術(shù)專家將其命名為“老虎”挖礦木馬(LaofuMiner)。

據(jù)騰訊安全御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)數(shù)據(jù)統(tǒng)計(jì)，此次有數(shù)千家企業(yè)受到“老虎”挖礦木馬攻擊影響，北京、廣東、上海、河南、山東等地，成為本次攻擊受害較嚴(yán)重的區(qū)域。目前，騰訊電腦管家、騰訊安全終端安全管理系統(tǒng)已全面攔截并查殺該挖礦木馬，同時(shí)提醒廣大用戶保持安全警惕，切勿點(diǎn)擊觀看該類虛假文件以防中招。

騰訊安全專家經(jīng)過(guò)深入溯源分析后，發(fā)現(xiàn)“老虎”挖礦木馬同2018年發(fā)現(xiàn)的灰熊挖礦木馬(BearMiner)二者的文件服務(wù)器和礦池域名都指向相同的IP，可以推測(cè)“灰熊”和“老虎”挖礦木馬同屬一個(gè)黑產(chǎn)團(tuán)伙。近日，“老虎”替代“灰熊”挖礦木馬呈現(xiàn)新的活躍趨勢(shì)。

據(jù)騰訊安全專家介紹，“老虎”挖礦木馬善于偽裝，利用多種欺騙手段隱藏自己，令普通用戶難覓蹤跡。首先該挖礦木馬會(huì)將文件屬性偽裝成音頻設(shè)備公司“Waves Audio”的相關(guān)信息，并在首次執(zhí)行后寫(xiě)入大量垃圾數(shù)據(jù)到150MB，以此逃避殺毒軟件檢測(cè)。此外，釋放礦機(jī)程序文件還會(huì)偽裝成顯卡制造商N(yùn)VIDIA的驅(qū)動(dòng)程序，占用CPU資源高達(dá)97%，以此躲避查殺，導(dǎo)致系統(tǒng)嚴(yán)重卡頓無(wú)法正常運(yùn)行。

在此次攻擊案例中，“大灰狼”遠(yuǎn)控木馬作為一款老牌遠(yuǎn)控工具，時(shí)至今日仍備受黑產(chǎn)圈喜愛(ài)。據(jù)報(bào)道，目前該木馬原始作者已經(jīng)離世，但相關(guān)代碼已流落黑產(chǎn)圈開(kāi)源共享，不同的病毒木馬團(tuán)伙對(duì)其定制改造后發(fā)布了諸多變種肆意作惡。值得注意的是，該團(tuán)伙經(jīng)常使用漏洞、釣魚(yú)文檔等手段傳播木馬，同時(shí)經(jīng)營(yíng)外掛、私服、流量劫持、后門安裝等非法交易，嚴(yán)重威脅用戶的信息財(cái)產(chǎn)安全。

隨著黑產(chǎn)團(tuán)伙技術(shù)手段不斷的進(jìn)化，不管是對(duì)攻擊目標(biāo)精挑細(xì)選，還是對(duì)技術(shù)手段不斷升級(jí)，黑產(chǎn)團(tuán)伙的核心目的還是在于感染更多用戶電腦，攫取更高的收益。因此，如何抵御黑產(chǎn)攻擊成為企業(yè)日常網(wǎng)絡(luò)安全建設(shè)工作的重中之重。

面對(duì)來(lái)勢(shì)洶洶的“老虎”挖礦木馬，騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松提醒廣大用戶保持良好的上網(wǎng)習(xí)慣，不要輕易點(diǎn)擊來(lái)歷不明的文件，對(duì)于可疑文件可使用騰訊電腦管家和騰訊安全終端安全管理系統(tǒng)進(jìn)行安全檢測(cè)。同時(shí)，打開(kāi)資源管理器文件夾選項(xiàng)中的“查看已知文件的擴(kuò)展名”，可及時(shí)判斷文件是否安全。對(duì)于已經(jīng)“中招”的用戶，可以使用騰訊電腦管家等主流殺毒軟件進(jìn)行查殺清理?；虿捎檬謩?dòng)清理方案，刪除以下文件：C:\Program Files (x86)\Microsoft WavesSys\WavesSys.exe、C:\Program Files (x86)\Microsoft WavesSys\WavesSys.dll、C:\Program Files (x86)\Microsoft SvidaPaun\SvidaPaun.exe、C:\Program Files (x86)\Microsoft Hdejpp\Xtuzqan.exe。刪除以下服務(wù)：”Corporati Assemblies WavesSyse“、“Wszswc wyksdvuf”、“Wsxxsw ndcbxauv”。

同時(shí)，建議企業(yè)用戶使用騰訊安全高級(jí)威脅檢測(cè)系統(tǒng)，基于騰訊安全在云和端的海量數(shù)據(jù)積累形成的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)，可幫助企業(yè)客戶預(yù)先檢測(cè)挖礦程序外聯(lián)等異常行為，防患于未然。