挖矿木马类型: virus.jvirus.vbs.qexvmcc.1 描述: 恶意软件是对病毒、木马、蠕虫、后门程序等危害用户计算机及

来源:蜘蛛抓取(WebSpider) 时间:2018-09-27 05:17 标签: virus.vbs.qexvmc

腾讯御见威胁情报中心监控发现,用户在在运行软件激活、数据恢复等工具软件后,被植入后门木马,木马进一步与远程服务器建立连接、利用Arkei Stealer窃取用户隐私信息、下载挖矿木马、通过远程命令控制机器执行ddos、http_flood攻击。

分析发现全球有包括中国在内的40多个国家和地区受到Arkei Stealer木马感染,最严重的国家依次为俄罗斯、乌克兰、巴西,且感染机器数还在持续增加。

1)窃取设备信息,包括guid、IP、桌面截图、系统和CPU等

2)窃取加密货币钱包信息,浏览器各类网站登录信息

3)占用计算资源进行门罗币挖矿

4)被控制成为肉鸡,接受命令进行DDOS攻击

木马作者利用人们不愿意为收费软件付费,喜欢使用破解版软件的心理,将木马植入各类“破解版”、“完整版”、“注册机”程序当中,然后上传到网站提供下载,用户一旦下载使用便会中招。

传播木马的网站hxxps://提供andriod、windows、Mac等系统的各类激活版软件,其中系统激活、office激活、图像处理类软件注册机都存在木马植入。

发现木马的部分软件名(下载时对应文件名):

木马启动时伪装为进程名ctask.exe,拷贝自身到ProgramData\目录然后将自身删除、并释放用于下载update.exe木马的VBS、BAT文件。

木马释放VBS、BAT路径

1、检测以下软件,如果存在则停止运行

4、从该服务端路径hxxp://panel.land-seo.ru/gate/ 可以看到,服务端提供检查连接、cpu/gpu区分、矿池信息、在线设置以及更新等服务。

Arkei Stealer是一款功能完善的窃密软件,功能包括收集密码,cookies,CC 。

运行后复制自身到系统目录,然后扫描浏览器收集帐号密码信息、桌面截图、获取机器IP地址、MachineGuid、进程信息,然后打包上传到服务器,最后删除自身文件。

通过腾讯御见威胁情报中心查询到黑客保存受害者信息的位置,目前数据还在不断更新中。

木马获取的受害用户信息

Arkei Stealer木马在上传搜集的用户信息txt文件中记录了作者为俄罗斯黑客。

病毒作者:Foxovsky(伏克斯沃夫斯基,名字很俄国了^_^)

通过搜索引擎找到他们在Telegram上面的账号

Arsenkooo135在2017年12月在俄罗斯黑客论坛发布的Arkei Stealer的销售信息,软件售价为5000卢布(折合人民币513元),若做病毒二级分销商,则2000卢布就够了(折合人民币205元)。

而Arsenkooo135作为木马销售者,在俄罗斯各大黑客论坛均有记录,在某些论坛还是管理员,交易的“担保人”。

1、不要随意使用来历不明的破解、激活工具。需要用到Windows、office、图形图像等专业软件的企业用户建议使用正版软件。

2、保持腾讯电脑管家开启即可拦截该木马。

  USB设备使用方便,JX8NET但也可能被用来携带恶意软件、病毒,感染计算机系统。通过禁用自动播放功能、杀毒软件查杀、不定期的对设备进行格式化等操作可以确保它是干净的。但它存在的安全问题要比我们想象的更深,问题不仅在于它携带了什么,还在于通过它的工作方式就能产生安全隐患。
  USB隐藏的危险:
发现了从根本上颠覆USB安全性的方法。他们创建的恶意软件,暂且称为BadUSB,可以被安装到USB设备中完全控制PC,无形中修改内存中的文件,甚至重定向用户的互联网流量。由于BadUSB不是存储在USB设备的闪存中,而在于可以控制其基本功能的固件中,攻击代码在设备内存被用户删除后仍可以隐藏很久。两位研究者表示修复这一问题并不容易,除非禁止USB设备的传播或将USB端口封起来。
  Nohl和Lell并不是第一个之处USB设备可以存储和传播恶意软件的人,但他们并没有止步于仅仅将自己的代码复制到USB设备的内存中。他们花了几个月的时间对USB的固件进行逆向工程,而固件决定着USB的基本通信功能——控制芯片让设备能和PC通信,用户可以移动和修改文件。他们最重要的发现是USB设备中的固件可以被二次编程已隐藏攻击代码。你可以把它给那些做安全研究的人,他们会扫描并删除一些文件,然后告诉你设备室"干净"的。但除非他们具备逆向工程的能力并对固件进行分析,前面描述的"清洗"过程根本不会碰到BadUSB。 
  所有形式的有固件的的USB设备,从键盘到鼠标再到智能手机都可以被重新编程。除了常见的USB设备,Android手机连接到PC上同样会遭受攻击,一旦受感染设备连接到PC,BadUSB可以做的事情就像变戏法一样,它可以将安装的软件替换为损坏的或者有后门的版本,甚至还可以模拟USB键盘突然就输入命令,通过键盘能做的都可以做到 —— 基本电脑能做到的一切。 
  该恶意软件也可以悄悄地劫持互联网流量,改变计算机的DNS设置以将流量牵引到它设置的服务器。如果代码用于手机和其他连接到互联网的设备,它还可以扮演中间人,秘密地监听通信。 
  我们大多数人都学会了不要随便运行USB上的可执行文件,但这并不能阻止新的感染方式,即便用户意识到可能会遭受攻击,确认USB设备未被攻击也基本上是不可能的。这些设备并没有"代码签名"的设置—— 确保新加入的代码都有设备制造商不可伪造的签名机制,甚至没有任何可以信的USB固件可以用来对比。
  任何时候将Upan插到电脑上,其固件就会被那台电脑上的恶意软件再编程,U盘的主人很难检测到它。同样的,USB设备也可以悄悄地感染用户的计算机。这其实是双向的,任何人都不可信。  
  BadUSB传播过程中无法被检测到的能力引起了一个疑问:是否能安全地使用USB设备。当我们把USB端口给人访问时,人们可以再上面做点坏事,但现在又有了一种新的可能的方向,这意味着一个受感染的USB设备是一个非常严重的实际问题。
  Blaze推测USB攻击实际上早已成为NSA的普遍做法,他提到了早些时候斯诺登泄露的被称为Cottonmouth的间谍设备。该设备据说隐藏在一个USB外设中,为秘密地安装恶意软件到目标机器上收集NSA需要的信息。
  Nohl说他们将他们的研究告知过一个台湾的USB设备制造商,一系列的邮件交流后,该公司不承认这种攻击存在的可能[换做是我估计也不愿意承认呢]。Nohl认为短期内无法通过技术手段给该问题打上补丁,为避免该问题,你只能不让USB设备和电脑相连[谁知道还有没其他办法绕过呢,USB终归是要拿来用的]。信息安全的本质问题是信任,但在这种情况下一切都变得不可信。当USB接触到不受信的电脑后,你最好是当它已经被感染了,并将它扔了[太严重了吧!不过政府部门及一些信息比较敏感的地方还是需要提高警惕啊]。这两名研究者将在今年的黑帽大会上公布他们的发现,但还没有决定发行哪一个BadUSB设备攻击,因为这可能会导致USB的恶意固件会快速传播。
  要实行一项新的安全模式,首先需要让设备制造商相信威胁真的存在,同时用户也需要提高自己的安全意识,因为说不定哪一天我们就碰到了一个这样的BadUSB!

我有一条LAN,有两个固定IP,其中一个IP共享上网,另外一个闲着。

网络设备连接是这样的:

LAN—交换机1—路由器—交换机2—各PC

昨天突然兴起,想利用剩下的一个IP弄个WEB服务器,于是随便找了台电脑,装上WINDOWS 2003,然后与“交换机1”连接,并直接在电脑的网卡上绑上固定IP以及指定的掩码和网关。

刚好吃饭时间到了,我没有关机,去吃了个饭;

半小时后回来,天呢,电脑在抓狂,太恐怖了;后来查看了一下NORTON隔离区和开始菜单程序,中了8个木马和被安装了15个软件或插件。

我想中毒是否与直接连上网络有关,或者是本身那台电脑里有病毒? -------------下面是木马和软件(插件)列表----------------

II,15个被强制安装在电脑上的软件或插件

ZCOM娱乐空间(电子杂志)

UUSee播放插件基础包

其实有些软件和插件平时我也在安全地使用着啊,比如FlashGet,Google工具条,暴风影音这三个。

但是其它的软件或插件就非常恶劣了,我看这些软件或插件主要是两类(除此还有下载用的FlashGet,远程控制用的Rejoice2008),一个是搜索用了,如GOOGLE、百度工具条,二是娱乐用的,特别是播放视频和音频用的,如酷我音乐盒、播霸播放器等;前者让浏览器面目全非,后者让桌面面目全非,而最恶劣的数这各种各样的播放器。

“酷我音乐盒”有一个无框的透明的窗口,一直在屏幕的最上层,无论鼠标点哪儿都会点到它,使用无法做其它操作,而且这个“酷我音乐盒”还不受控制地拼命下载音乐。

“播霸播放器”也是一开机就运行,自行下载,自行播放。

3,UUSee网络电视和皮皮影视

就不一一数了,反正都自动运行了,不受控制,别平时乖乖的FlashGet也自动启动,挂在那里。

想问问各位,这是中了什么病毒,如果不重装,如何解决?

我要回帖

更多关于 virus.vbs.qexvmc 的文章

 

随机推荐