“老虎”挖矿木马通过社会工程骗术传播，已感染北京、广东等地超过5000台电脑

其挖矿使用的自建矿池包含字符“ laofubtc”（小编猜测是来自福建的黑客），因此被定名为“老虎挖矿木马”。攻击者将远控木马程序伪装成“火爆新闻”，“色情内容”，“隐私资料”，“诈骗技巧”等文件名，通过社交网络发送到目标电脑，受害者双击查看文件立即被安装“大灰狼”远控木马。攻击者通过远控木马控制中毒电脑下载挖矿木马，中毒电脑随即沦陷为矿工，该木马已感染近5000台电脑。

因因其挖矿使用的自建矿池包含字符“ laofubtc”，御见威胁情报中心将其命名为老虎挖矿木马（LaofuMiner），通过腾讯安图系统溯源，发现这个老虎挖矿木马同2018年其他安全厂商报告的灰熊挖矿木马（BearMiner）同属一个黑产团伙。
用于钓鱼攻击的部分文件名如下：

根据腾讯安全御见威胁情报中心的统计数据，老虎挖矿木马（LaofuMiner）已感染超过5000台电脑，影响最严重地区为北京，广东，上海，河南，山东等地。

“老虎”挖矿木马（LaofuMiner）的技术特点

1.安装大灰狼远控木马后，接受C2服务器的指令，通过木马服务器下载挖矿木马；

2.挖矿木马文件属性伪装成音频设备公司“ Waves Audio”；

3.挖矿木马首次执行后会用垃圾数据增肥到150MB，从而避免了杀毒软件检测；

4.矿机程序文件伪装成插件制造商NVIDIA的驱动程序；

5.挖矿时，CPU占用率高达97％，会影响系统性能。

二，详细分析
LaofuMiner传播流程如下：

使用机器人群发的钓鱼文件实际上是“大灰狼”远控木马，用户一点击运行就会被远程控制，木马运行后拷贝自身到目录C：\ Program Files（x86）\ Microsoft Hdejpp \ Xtuzqan.exe下并安装为服务“ Wszswc wyksdvuf”。

Xtuzqan.exe的外壳代码解密出具有远控核心功能的PE文件并加载到内存执行。

远控木马完全控制电脑后，连接到远程控制端，然后接受命令从HFS服务器下载挖矿木马母体http [：] // www.baihes.com:8282/cpa.exe或http [：] // www .baihes.com：8285 / ws.exe到本地，下载的文件保存为C：\ Program Files（x86）\ Microsoft WavesSys \

WavesSys.exe。WavesSys.exe的图标和描述都伪装成音频设备公司”软件的相关信息，并在首次执行后修改自身文件写入大量垃圾数据，扩展文件到近150M，从而来躲避杀毒软件检测。

WavesSys.exe安装为服务“ Corporati程序集WavesSyse”，然后从服务器下载WavesSys.dll加载到内存执行。

最后WavesSys.exe释放矿机程序SvidaPaun.exe到C：\ Program Files（x86）\ Microsoft SvidaPaun \ SvidaPaun.exe，并以参数“ XO + sJ1p97mZtMz648YYXi / kDs3dOdu + ZOj81GkTZWbr / MNDDZsUEl0QQUbQrXnfQtQrVnQQVQQV9QV9QVQQV9QV

SvidaPaun.exe伪装成英伟达公司插件驱动程序（占用高CPU资源时，不容易被怀疑），使用矿池poole.laofubtc.com，登录名：CPU_V1 2.0（20191126）开始挖矿开始挖矿，挖矿通信流量如下：

挖矿时SvidaPaun.exe进程的CPU占用率达到了近97％，会造成系统严重卡顿无法正常运行。

通过腾讯安图高级威胁溯源系统查询IP 46.4.156.44，可以看到指向解析IP的域名包含友商在2018年发现的“灰熊”挖矿木马BearMiner的域名miner.gsbean.com。而“老虎”挖矿木马LaofuMiner的文件服务器baihes.com和矿池域名池pool.laofubtc.com也指向该IP，可以认为“灰熊”和“老虎”属于同一团伙，“老虎”替代“灰熊”新的活跃趋势。

三，安全建议
1，不要随意打开来历不明的文件，对于可疑文件先使用腾讯电脑管家或腾讯御点进行扫描。

2，建议打开资源管理器文件夹选项中的“查看已知文件的扩展名” ，这样当您收到文件图标为Office，音乐，视频文件，文件的扩展名却是“ exe，com，pif，蝙蝠”时，可以立刻判断为危险文件。

3，对于已感染LaofuMiner的手动清理方案。
删除文件：
C：\ Program Files文件（x86）的\微软WavesSys \ WavesSys.exe
C：\ Program Files文件（x86）的\微软WavesSys \ WavesSys.dll
C：\ Program Files（x86）\ Microsoft SvidaPaun \ SvidaPaun.exe
C：\ Program Files（x86）\ Microsoft Hdejpp \ Xtuzqan.exe

删除服务：“ Corporati Assemblys WavesSyse”，
“ Wszswc wyksdvuf”，
“ Wsxxsw ndcbxauv”

4，推荐企业用户部署腾讯御界高级威胁检测系统。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力，依托腾讯安全在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，腾讯御界可以检测远控木马，挖矿程序外联等异常行为。

IOC @LaofuMiner
C＆C
116.206.92.179:9772
94.191.24.237:2020

IP
46.4.156.44
207.246.99.13
114.118.98.185
111.230.96.55
58.221.55.158

域
www.baihes.com
neibu.wkery.com
neibu.pkdnf.cn
miner.g COM
mine.gsbean.com
poolb.laofubtc.com
poolc.laofubtc.com
poole.laofubtc.com
pool.laofubtc.com

的Md5
abfa5626edbbe2063a72d6c8fbc9f5b1
11caff15bc726838e639f84e96276c6e
d23d560714aa6b579526aefdaea89ca0
21044f539b24f5a1d10e11c42b500189
207761fb4e33b2028265a4c8fbc9219a
dfae8fbea98e9ec2383a751beb1d7441

网址http [：] // www.baihes.com:8282/cpa.exe
http [：] // www.baihes.com:8285/ws.exe
http [：] // neibu.wkery.com:8861/httppost。exe
http [：] // neibu.wkery.com:8861/httppost2.exe
http [：] // neibu.wkery.com:8861/httppost3.exe
http [：] // 114.118.98.185:8080/netsyst96.dll
http [：] // 207.246.99.13:8080/server.exe
http [：] // neibu.wkery.com:81/tu.php
http [：] // neibu.pkdnf.cn:81/cha.php
http [：] // neibu.pkdnf.cn:81/lao.php
http [：] // www.pkdnf.cn:8186/system.exe

矿池：
pool.laofubtc.com : 5559

参考链接：
https://www.freebuf.com/articles/terminal/176936.html
找到我们：
网站：http://www.bizreview.cn/
微博&推特：@商业共识（八倍信息量，实时快更新）
微信：商业共识（最值得关注的业界精华）

头条，百家号，steemit，FB主页...同上

FB群组：
https://facebook.com/groups/342238079794667

“老虎”挖矿木马通过社会工程骗术传播， 已感染北京、广东等地超过5000台电脑

“老虎”挖矿木马通过社会工程骗术传播，已感染北京、广东等地超过5000台电脑