摘要
在攻击过程中发现了一个使用Windows安全模式的加密货币挖掘恶意软件。每天约有1000台设备受到攻击,全球已有超过22.2万台机器受到感染。该恶意软件至少从2018年6月开始传播,最新版本于2020年11月发布。研究人员表示,只要人们下载被破解的软件,恶意软件就会继续传播。
名为Crackonosh的恶意软件
发现了一个在攻击过程中滥用Windows安全模式的加密货币挖矿恶意软件。它通过盗版和破解软件传播,经常出现在洪流、论坛和“warez & # 8220在网站里。
Avast研究人员称这种恶意软件为Crackonosh。研究人员指出,该恶意软件至少从2018年6月开始传播,第一名受害者是通过运行伪装成合法软件的破解版软件进行攻击的。
每天约有1000台设备受到攻击,全球已有超过22.2万台机器被感染。
主要利用系统计算能力和资源来挖掘门罗币(XMR)(一种加密货币)。Crackonosh总共产生了至少200万美元的门罗币,开采了9000多枚XMR币。
到目前为止,该恶意软件的30个变种已被确认,最新版本于2020年11月发布。到目前为止,这种恶意软件的30个变种已经得到确认,最新版本于2020年11月发布。
感染过程
开始
感染链从安装程序和修改Windows注册表的脚本开始,允许主要恶意软件可执行文件在安全模式下运行。受感染的系统被设置为在下次引导时以安全模式引导。
抗软化
研究人员表示,当Windows系统处于安全模式时,杀毒软件将不起作用。这使得恶意Serviceinstaller.exe很容易禁用和删除Windows Defender。它还使用WQL从AntiVirusProduct查询所有已安装的防病毒软件SELECT *。
Crackonosh会检查防病毒程序的存在,如Avast、卡巴斯基、迈克菲的scanner、诺顿和Bitdefender & # 8211并尝试禁用或删除它们。然后清除日志系统文件来掩盖它们的痕迹。
阻止Windows更新
Crackonosh还会尝试停止Windows update,并将Windows security替换为一个假的绿色勾选托盘图标。
挖矿
最后部署一个XMRig,这是一个加密货币挖掘器,利用系统计算能力和资源来挖掘门罗币(XMR)(一种加密货币)。
Avast研究人员表示,只要人们仍然下载破解软件,恶意软件就会继续传播。
本文来自是我太自作多情投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/567428.html