每天感染1000台设备,这款恶意软件专为挖矿而来、已开采出超过9000个XMR币

安全
一款在攻击过程中利用Windows安全模式的加密货币挖矿恶意软件被发现,每天约有1,000台设备被攻击,全球已有超过22.2万台机器被感染。

[[409556]]

摘要

一款在攻击过程中利用Windows安全模式的加密货币挖矿恶意软件被发现,每天约有1,000台设备被攻击,全球已有超过22.2万台机器被感染。该恶意软件至少从2018年6月就开始蔓延,最新版本于2020年11月发布。研究人员表示,只要人们还下载破解的软件,恶意软件就会一直蔓延下去。

名为Crackonosh的恶意软件

一款在攻击过程中滥用Windows安全模式的加密货币挖矿恶意软件被发现,它通过盗版和破解软件传播,并经常出现在torrents, forums, 和 "warez "网站中。

Avast的研究人员将这种恶意软件称为Crackonosh。该恶意软件至少从2018年6月就开始蔓延,第一个受害者是运行伪装成合法软件的破解版软件而被攻击。

每天约有1,000台设备被攻击,全球已有超过22.2万台机器被感染。

主要利用系统算力和资源来挖掘门罗币(XMR)(一种加密货币)。Crackonosh总共产生了至少200万美元的门罗币,有超过9000个XMR币被开采出来。

[[409557]]

[[409558]]

到目前为止,该恶意软件的30个变种已被确认,最新版本于2020年11月发布。

感染流程

(1) 启动

感染链从一个安装程序和一个修改Windows注册表的脚本开始,允许主要的恶意软件可执行文件在安全模式下运行。被感染的系统被设置为在下次启动时以安全模式启动。

(2) 抗杀软

当Windows系统处于安全模式时,杀毒软件就不会工作。这使得恶意的Serviceinstaller.exe能够轻易地禁用和删除Windows Defender。它还使用WQL查询所有安装的杀毒软件SELECT * FROM AntiVirusProduct.

Crackonosh将检查防病毒程序的存在,如Avast、Kaspersky、McAfee的扫描器、Norton和Bitdefender - 并尝试禁用或删除它们。然后擦除日志系统文件以掩盖其痕迹。

(3) 阻止Windows更新

Crackonosh还将试图停止Windows更新,并将用一个假的绿色勾选托盘图标取代Windows安全。

(4) 挖矿

最后,部署了一个XMRig,这是一个加密货币矿工,利用系统算力和资源来挖掘门罗币(XMR)(一种加密货币)。

Avast研究人员表示,只要人们还下载破解的软件,恶意软件就会一直蔓延下去.

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2014-10-08 09:54:04

恶意软件iWormMac

2021-10-06 13:57:41

恶意软件GriftHorse网络攻击

2023-02-22 14:11:11

2014-08-22 09:32:02

2021-02-26 09:27:00

恶意软件Silver SparApple M1芯片

2014-03-26 10:35:05

2017-02-10 14:11:08

2018-07-22 22:27:19

2013-04-16 17:15:37

移动恶意软件恶意软件Android

2017-01-17 16:01:13

2022-03-13 09:02:26

僵尸网络Emotet

2024-09-24 17:15:40

2023-08-18 10:14:27

2023-10-27 12:14:24

2021-02-24 11:56:45

恶意软件黑客网络攻击

2012-12-14 12:53:15

2020-09-24 10:47:45

安全密码数据

2014-11-04 09:40:27

2019-12-11 07:29:34

恶意软件漏洞攻击

2020-11-04 15:13:32

Google PlayAndroid应用程序
点赞
收藏

51CTO技术栈公众号