近日安全研究人员在接到某某企业的求助称其公司内网大量服务器存在挖矿问题,且难以清理干净。
经过深入研究分析,发现这是一种新型的挖矿病毒,属全国首例,其病毒机制与常规挖矿相差很大。
在追踪后发现了病毒入侵途径,已将此病毒命名为wmixml挖矿病毒,同时制定了详细的应对措施。
该wmixml挖矿病毒在感染内网服务器后查杀难度极其的困难,wmixml 可以绕过杀毒软件的拦截。
不同于常规挖矿病毒,wmixml恶意病毒的挖矿功能体以密文文件的形式存在而不是常规的独立exe。
wmixml感染主机上,会有一个加载病毒体dll,在被系统进程svchost.exe加载后读取挖矿密文文件。
在内存中解密后再将挖矿原体注入到另外一个系统进程svchost.exe中,由于解密动作发生在内存中。
目前已绕过了大量杀毒引擎,达到了免杀的目的,此次攻击,可谓有备而来绕开杀毒软件上做足功夫。
appmg.dll是加载病毒体(system32目录下),负责加载挖矿功能,wvms_dp.inf是挖矿密文数据。
即其二进制是经过特殊加密处理的,不能直接被运行执行,由于密文文件不是pe格式等可执行文件。
杀软自然扫描不出来,此外,为了保证免杀效果,又将解密后的挖矿病毒体注入到系统进程中执行。
wmixml挖矿病毒的危害是显而易见的,即长期压榨受害者主机性能,长期为黑客默默赚外快收入。
此外wmixml挖矿病毒在隐蔽性方面做的非常高明,一般的挖矿,通常会尽可能多的压榨受害者CPU
使之长期达到80%以上的占用率,但这个wmixml病毒作者,却严格限制并稳定在25%的CPU占用率。
