来自 资讯 2022-04-24 11:00 的文章

ddos清洗_cdn防御系统_超稳定

ddos清洗_cdn防御系统_超稳定

基于XMRig的Monero miner通过非法软件下载感染PC

2020年8月21日,星期五,我们开始检测假Malwarebytes安装文件,其中包含一个后门,该后门将基于XMRig的Monero miner加载到受感染的PC上。其中一个安装文件分发时使用的最常见文件名是"MBSetup2.exe"。Avast已经保护了近10万名Avast和AVG用户免受伪造安装文件的侵害,这些文件主要分布在俄罗斯、乌克兰和东欧。到目前为止,我们还不知道虚假安装文件在哪里或如何分发,但我们可以确认安装文件没有通过官方的Malwarebytes渠道分发,这些渠道仍然是可信的来源。

这背后的网络犯罪分子已经重新包装了Malwarebytes安装程序,win7系统防御ddos,以包含恶意负载。伪安装文件MBSetup2.exe是一个未签名的文件,其中包含名为Qt5Help.dll和Qt5WinExtras.dll的恶意dll文件,其中包含无效的数字签名。安装程序中打包的所有其他可移植可执行文件(PE)都使用有效的Malwarebytes或Microsoft证书签名。

幕后操纵者可以随时更改恶意负载,将其他恶意程序分发到受感染的电脑。

在执行一个伪造的Malwarebytes安装程序后,出现一个假的Malwarebytes安装向导。该恶意软件在"%ProgramFiles(x86)%\Malwarebytes"中安装一个假的Malwarebytes程序,云防御ddos,并将大部分恶意负载隐藏在两个dll之一Qt5Help.dll中。恶意软件通知受害者Malwarebytes已成功安装,这是不正确的,因为程序无法打开。

然后,恶意软件将自身安装为一个名为"MBAMSvc"的服务,并继续下载另一个恶意负载,该负载目前是一个名为Bitminer的加密货币矿工,基于XMRig的Monero miner。

安装向导基于流行的Inno安装工具,使其看起来与实际的Malwarebytes安装程序不同,如以下截图所示。

假安装设置屏幕

真Malwarebytes安装设置屏幕

相关用户可以通过在其PC上搜索以下文件之一来检查是否感染:

如果存在这些文件,应删除"%ProgramFiles(x86)%\Malwarebytes"下的所有文件和"%ProgramData%\VMware\VMware Tools"下的可执行文件,如果可能,防御webcc攻击,还可以删除服务"MBAMSvc"。Avast检测并隔离安装程序和dll文件,使MBAMSvc服务成为良性服务。通过打开提升的命令提示符并执行命令"sc.exe delete MBAMSvc"

可以删除MBAMSvc。同时安装了真正Malwarebytes软件的用户在删除这些文件时应小心,Tcpddos防御,因为实际的Malwarebytes程序也会将自身安装到%ProgramFiles%\Malwarebytes。为了安全起见,用户可以删除此文件夹中的所有文件,安全狗防御cc设置,并直接从其网站上重新安装Malwarebytes。

Avast已通知Malwarebytes正在分发的虚假安装文件。

安装人员(SHA-256Ha散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散散B4A72F412

C&C域:

dl.bytestech[.]dev

dl.cloudnetbytes[.]com

api.masterbyte[.]nlapi.mbytestech[.]comapi.bytestech[.]dev

加密货币矿工(SHA-256)散散列:

C6AA868623E74F5 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAc97920cd46dd62ced48a419a09179bae7de3a9cfa4305a830

加密货币矿工(文件系统位置):

%ProgramData%\VMware\VMware Tools\vmtoolsd.exe

%ProgramData%\VMware\VMware Tools\vmmem.exe

%ProgramData%\vm3dservice.exe

%ProgramData%\VMware\VMware Tools\vmwarehostopen.exe