近日发现了大量知名软件的安装程序被植入挖矿病毒,该病毒背后的黑客试图通过软件共享论坛等社交渠道来发布受感染的软件安装包,我们称该恶意软件为“安装幽灵”挖矿病毒。

攻击者在多个论坛“共享”了捆绑有“安装幽灵”挖矿病毒的各类流行应用的破解版本,其中包括“Malwarebytes”、“Windows 10 Manager”等知名应用共计26种,连同不同的版本共发布有99个之多,功能涵盖系统优化、软件卸载、光盘刻录、杀毒、系统激活、资源下载等。如Google、和Malwarebytes等,尤其像“CCleaner Professional”、“Speccy Professional Business Technician”等知名应用已被数百万计的家庭和商业用户使用,并已安装在世界各地的多个国家。

因为这些应用绝大多数为付费软件,所以互联网上存在有大量该类应用的破解版本,这也正好满足了一部分用户的使用需求。不过天下没有免费的午餐,用户在享受“免费”实惠的同时,殊不知这份实惠早已在暗中标好了价格。

大量知名软件安装包被植入“安装幽灵”挖矿病毒

“安装幽灵”挖矿病毒的感染流程
攻击者先将包含有“安装幽灵”的破解安装包上传到“mega”、“clicknupload”、“fileupload”等多个云盘,然后将文件的下载链接通过“NITROWAR”、“MEWAREZ”等论坛进行“分享”传播,相应的软件被受害者下载安装运行后,“安装幽灵”就会启动执行。首先,“安装幽灵”将系统文件“%Windows%\Microsoft.NET\Framework\v3.5\vbc.exe”拷贝到系统的%temp%目录命名为svhost.exe并启动它,然后将恶意代码注入到svhost.exe进程空间。注入到svhost.exe进程空间中的恶意代码一方面创建挖矿配置文件,一方面将挖矿病毒注入到”%Windows%\System32\wuapp.exe”傀儡进程,最后以配置文件作为参数进行挖矿作业,隐蔽性很强。

“安装幽灵”挖矿病毒的传播途径
研究人员最初捕获到的是“Internet Download Manager”下载管理器的一个破解安装包程序(后文简称IDM),安装完该IDM后,发现计算机对某远程服务器4444端口有异常连接。经过进一步分析,我们最终发现了捆绑在IDM破解安装包里面的“安装幽灵”挖矿病毒。“安装幽灵”被捆绑到破解版IDM下载器安装程序中,用户在安装IDM的过程中,它即被释放到用户的计算机上进行挖矿作业,为攻击者赚取利益。

安全建议
由于比特币和以太币等虚拟货币价格的快速增长,围绕着虚拟货币的网络攻击也逐年增加,这已经发展成为一个不可忽略的重大问题。如果用户发现自己的CPU使用量暴增,笔记本电脑突然耗电量加快,那么你的电脑很有可能被用来进行虚拟货币的挖矿行为。用户可以在”%SYSTEMROOT%\Users\[username]\AppData\Local\”目录下查看是否存在”KeAgPGdPeF”目录,并且该目录下是否存在”cfg”文件来确定自己是否感染“安装幽灵”。提醒用户不要轻易下载破解软件,使用破解软件不但不合法而且还可能给用户带来安全风险。建议用户尽量从官网下载所需应用,在不得不从第三方下载站点下载软件时,需保持高度警惕,认真甄别,防止误下恶意应用,给自己造成不必要的麻烦和损失。