来自 应用 2022-05-29 11:50 的文章

抗ddos_防高反的药_方法

抗ddos_防高反的药_方法

加密货币挖掘恶意软件也安装了恶意Chrome扩展,托管在GitHub上,供任何人下载。

网络犯罪分子正在积极将加密货币挖掘恶意软件上传到GitHub。网络犯罪分子会转移其他项目,在Github上,这意味着生成其他人项目的副本,以该项目为基础或作为起点,然后将新的恶意软件提交到该项目。分叉的项目似乎是随机选择的。受影响的GitHub存储库列表可在本文底部找到。

恶意软件背后的网络罪犯正在分叉项目的目录结构中隐藏恶意可执行文件。人们通过在线游戏和成人网站上显示的钓鱼广告,警告用户他们的Flash播放器已经过时,以及通过假冒的成人内容游戏网站,被诱骗下载恶意软件。除了挖掘,哪家高防cdn好,该恶意软件还安装了一个恶意Chrome扩展,注入虚假广告并在后台点击广告,让贪婪的网络犯罪分子可以获得更多利润。

用户不需要直接从GitHub下载恶意可执行文件。相反,恶意软件通过网络钓鱼广告活动传播。当用户访问显示钓鱼广告的网站并单击广告时,可执行文件将下载。

广告首先指向攻击者控制的服务器(?sub3=25-114-201802141754224cef0ad22&f=setup_sex_game.exe),然后重定向到承载恶意软件的GitHub存储库,这是加载恶意可执行文件的地方。

除了网络钓鱼广告活动外,我们还发现一个成人内容网站通过向网站访问者提供性游戏传播恶意软件。

在本动画中,您可以看到网页在访问页面后如何为恶意文件提供服务。如果用户点击页面,在用户点击"我已经超过18岁了-让我们玩吧-下载"后,它会再次提供相同的文件。

该恶意软件包含一个Monero miner,该miner也托管在GitHub上。网络罪犯向miner添加了恶意功能。其中一项功能包括终止Opera、Chrome和Amigo Free浏览器进程。我们不确定为什么Opera和Amigo Free浏览器进程会终止,因为恶意软件的目标是Chrome用户。我们怀疑这是一个错误,或者可能是网络犯罪分子正在计划发布一个同样针对这些浏览器的恶意软件版本。

该恶意软件所做的第一件事是将自身复制到"C:\ProgramData\VsTelemetry\vshub.exe"。

该恶意软件的新样本使用以下路径:"C:\ProgramData\WindowsPerformanceRecorder\spyxx_amd64.exe"

下一步,它安排了两个任务:

"schtasks/create/tn\SystemLoadCheck/tr"C:\ProgramData\VsTelemetry\vshub.exe-loadcheck"/st 00:00/sc daily/du 9999:59/ri 10/f"

第一个任务安装一个Chrome扩展,将JavaScript注入每个打开的页面。该任务还每天、每午夜加载恶意软件,并设置为永不结束,并设置为每10分钟重复一次,除非进程已在运行。即使受感染的计算机重新启动,恶意软件也会重新加载。如果进程被用户终止,任务计划在10分钟后重新启动。

"schtasks/create/tn\Windows\VsServiceCheck/tr"C:\ProgramData\VsTelemetry\vshub.exe"/st 00:00/sc daily/du 9999:59/ri 2/f"

第二个任务在进程终止两分钟后重新启动进程。

第二个任务使用以下选项进行挖掘:

"-o阶层+tcp://vwwvvw.com:3333 -u 39vwajxhvdj7pd5xr8d8wubdfe4dxkdam-p x-k-cpu优先级=1-最大cpu使用率=50-捐赠级别=1"

以上选项在此GitHub页面上进行了说明:

-o,--url=挖掘服务器的url-u,-user=挖掘服务器的用户名-p,--pass=挖掘服务器的密码-k,--keepalive send keepalive for prevent timeout(需要池支持)--cpu优先级设置进程优先级(0空闲,2正常到5最高)--捐赠级别=N捐赠级别,默认值5%(100分钟内5分钟)--最大cpu使用率=N自动线程模式的最大cpu使用率(默认值75)

为了避免用户检测,ddos防御相关视频,我们做了很多事情。设置"最大cpu使用率",使恶意软件最多可以使用受感染计算机50%的cpu,这样计算机运行速度就不会太慢。接下来,"cpu优先级"为其他需要比恶意软件更高cpu优先级的进程提供优先级。这允许受害者像往常一样使用他们的计算机,因此恶意软件可能会被忽略。挖掘恶意软件所使用的另一个常见技巧也是该恶意软件所使用的,即一旦激活任务管理器,该恶意软件就会停止挖掘以避免被捕获。

该恶意软件还会在Chrome浏览器上安装恶意Chrome扩展,这正是有趣的地方。该恶意软件利用了旧版本的AdBlock Chrome扩展,Chrome加载该扩展就好像它是真正的交易一样。如前所述,恶意软件会终止所有Chrome进程。这样做是为了诱使受害者重新启动Chrome,激活新的扩展。即使用户访问Chrome扩展页面,而不是看到他们的扩展,他们也会在页面重定向到另一个页面之前的一瞬间看到扩展页面,包括恶意扩展。这可以防止用户删除恶意扩展。

以上是我们为显示重定向过程而创建的动画,实际上速度快了10倍(我们在创建动画时减慢了速度),这从本质上防止用户删除恶意扩展。