当前位置:首页 > 农学知识

门罗币挖矿软件 这款恶意软件专为挖矿而来、超过9000个门罗币被挖掘

范文吧
发表于2021-10-01 07:32:20 归属于农学知识 本文已影响 我要投稿 手机版

这种恶意软件每天感染1000台设备,专为挖掘而设计,并挖掘了9000多枚XMR硬币

摘要

在攻击过程中发现了一个使用Windows安全模式的加密货币挖掘恶意软件。每天大约有1000台设备受到攻击,全球有超过222000台机器受到感染。该恶意软件至少从2018年6月开始传播,最新版本于2020年11月发布。研究人员表示,只要人们下载破解的软件,恶意软件就会继续传播

名为Crackonosh的恶意软件

发现了一种在攻击过程中滥用Windows安全模式的加密货币挖掘恶意软件。它通过盗版和破解软件传播,经常出现在洪流、论坛和“warez”网站上。

Avast研究人员称这种恶意软件为Crackonosh。研究人员指出,该恶意软件至少从2018年6月开始传播,第一个受害者是通过运行伪装成合法软件的破解软件而受到攻击的。

每天大约有1000台设备受到攻击,全球有超过222000台机器被感染。

主要利用系统计算能力和资源来开采门罗币。Crackonosh已经产生了至少200万美元的门罗硬币,超过9000枚XMR硬币已经被开采。

截至目前,该恶意软件的30个变种已被确认,最新版本于2020年11月发布。

感染过程开始

感染链从修改Windows注册表的安装程序和脚本开始,允许主要恶意软件可执行文件在安全模式下运行。受感染的系统被设置为下次启动时以安全模式启动。

抗软化

研究人员表示,当Windows处于安全模式时,防病毒软件将不起作用。这使得恶意的Serviceinstaller.exe很容易禁用和删除Windows Defender。它还使用WQL查询所有已安装的防病毒软件SELECT * FROM AntiVirusProduct。

Crackonosh将检查是否存在反病毒程序,如Avast、卡巴斯基、迈克菲的扫描仪、诺顿和Bitdefender-并尝试禁用或删除它们。然后擦除日志系统文件以掩盖它们的痕迹。

阻止窗口更新

Crackonosh还将尝试停止Windows更新,并将使用假的绿色检查托盘图标替换Windows安全。

采矿

最后,部署了一个XMRig,这是一个加密货币矿工,使用系统计算能力和资源来挖掘门罗币。

Avast的研究人员表示,只要人们下载了被破解的软件,恶意软件就会继续传播

返回农学知识列表