特洛伊木马Rakhni为加密货币或加密文件

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

一个历史悠久的勒索软件家族最近添加了基于受害者机器配置部署加密货币挖掘器而不是文件加密器的能力。

卡巴斯基实验室检测到的恶意软件是Rakhni ,最初于2013年被发现并且从那时起就收到了大量的更新。然而,威胁增加的最新功能使其脱颖而出:恶意软件的下载程序检查受害者系统并决定是否使用加密器或矿工感染它。

这个特洛伊木马主要影响俄罗斯的用户,但在全球范围内传播,通过附带恶意Word文档的垃圾邮件进行分发。该文件具有嵌入的PDF文档,该文档一旦打开,就会启动恶意下载程序,并向受害者显示虚假的错误消息。

特洛伊木马Rakhni为加密货币或加密文件

该恶意软件造成的Adobe的软件,甚至使用假的数字签名为特色的名字Adobe Systems Incorporated公司。

执行后,它会执行一系列检查以确定它是在虚拟化环境中运行还是正在分析,创建注册表项,并检查进程计数,计算机名称和IP地址。下载程序还会检查注册表项以查找与虚拟机,沙箱和分析工具相关的特定字符串。

完成此详尽的检查列表(超过200)后,威胁将继续从其资源安装根证书。恶意软件还会检查系统上的防病毒程序,如果找不到其他AV进程,则可以禁用Windows Defender。

下载程序检查计算机上是否存在文件夹%AppData%\ Bitcoin,如果存在,则删除密码。如果没有,并且有两个以上的逻辑处理器,则放弃该矿工。如果该文件夹不存在且只有一个逻辑处理器,则恶意软件会跳转到蠕虫组件。

加密器在机器上执行自己的一组检查,目标是超过60个进程终止,并且只有在系统空闲2分钟时才启动加密过程。该恶意软件针对近200种文件类型进行加密,使用RSA-1024加密算法,并将.neitrino 附加到受影响的文件中。

该矿工生成一个VBS脚本,该脚本在系统重新启动后启动,并包含分别为Monero和Monero Original挖掘的两个命令。然后,如果安装目录还包含svchost.exe 文件,则恶意软件会将其启动以供Dashcoin使用。伪造的Microsoft证书用于隐藏系统上的恶意进程。

“当进行此分析时,下载器正在接收一个没有使用GPU的矿工的存档。攻击者使用MinerGate实用程序的控制台版本进行挖掘,“卡巴斯基解释说。

除了提供有关感染本身的详细信息之外,还观察到恶意软件向硬编码地址发送电子邮件,向攻击者提供计算机名称,IP地址,系统上的恶意软件路径,数据和时间以及恶意软件构建日期等信息。

还观察到下载程序试图传播到本地网络上的其他计算机。为此,它获取网络共享列表,然后检查每台计算机以查看文件夹是否共享,以尝试将自身复制到每个可访问用户的Startup文件夹。

恶意软件还会创建一个批处理文件来删除感染期间使用的所有“临时”文件,这是一种相当常见的行为。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: