腾讯安全:打开文件就中招 “老虎”挖矿木马已感染超5000台电脑

  • 时间:
  • 浏览:1
  • 来源:10分赛车投注平台-10分赛车娱乐平台_10分赛车下注平台

近期,腾讯安全御见威胁情报中心接到用户求助,称每每各自 收到外国外国网友 发来的“存取款记录”消息,出于好奇便点击打开了其中以 exe为后缀的文档,发现并无“猛料”,每每各自 却落入了不法黑客的陷阱之中。  腾讯安全

       近期,腾讯安全御见威胁情报中心接到用户求助,称每每各自 收到外国外国网友 发来的“存取款记录”消息,出于好奇便点击打开了其中以.exe为后缀的文档,发现并无“猛料”,每每各自 却落入了不法黑客的陷阱之中。

  腾讯安全御见威胁情报中心近日监测发现一款通过社会工程骗术传播的“老虎”挖矿木马。攻击者将木马应用应用程序伪装成“火爆新闻”、“ 内容”、“隐私资料”、“诈骗技巧”等虚假文件名,通过社交网络发送到目标电脑,得手后植入大灰狼远控木马等恶意应用应用程序,窃取几滴 用户每每各自 隐私信息,中毒电脑更是因为着着遭到远程控制。目前,该木马已感染超50000台电脑。因其挖矿使用的自建矿池涵盖字符“laofubtc”,腾讯安全技术专家将其命名为“老虎”挖矿木马(LaofuMiner)。

  据腾讯安全御见威胁情报中心监测数据统计,此次有数千家企业受到“老虎”挖矿木马攻击影响,北京、广东、上海、河南、山东等地,成为本次攻击受害较严重的区域。目前,腾讯电脑管家、腾讯安全终端安全管理系统已全面拦截并查杀该挖矿木马,一起提醒广大用户保持安全警惕,切勿点击观看该类虚假文件以防中招。

  (图:腾讯安全终端安全管理系统)

  腾讯安全专家经深会入溯源分析后,发现“老虎”挖矿木马同2018年发现的灰熊挖矿木马(BearMiner)二者的文件服务器和矿池域名都指向相同的IP,可不可不可不能否 推测“灰熊”和“老虎”挖矿木马同属2个 黑产团伙。近日,“老虎”替代“灰熊”挖矿木马呈现新的活跃趋势。

  (图:“老虎”挖矿木马指向解析IP的域名列表)

  据腾讯安全专家介绍,“老虎”挖矿木马善于伪装,利用多种欺骗手段隐藏每每各自 ,令普通用户难觅踪迹。首先该挖矿木马会将文件属性伪装成音频设备公司“Waves Audio”的相关信息,并在首次执行后写入几滴 垃圾数据到5000MB,以此逃避杀毒软件检测。此外,释放矿机应用应用程序文件必须伪装成显卡制造商NVIDIA的驱动应用应用程序,占用CPU资源高达97%,以此躲避查杀,是因为着系统严重卡顿无法正常运行。

  在此次攻击案例中,“大灰狼”远控木马作为一款老牌远控工具,时至今日仍备受黑产圈喜爱。据报道,目前该木马原始作者是因为着着离世,但相关代码已流落黑产圈开源共享,不同的病毒木马团伙对其定制改造后发布了诸多变种肆意作恶。值得注意的是,该团伙一直使用漏洞、钓鱼文档等手段传播木马,一起经营外挂、私服、流量劫持、后门安装等非法交易,严重威胁用户的信息财产安全。

  随着黑产团伙技术手段不断的进化,不管是对攻击目标精挑细选,还是对技术手段不断升级,黑产团伙的核心目的还是在于感染更多用户电脑,攫取更高的收益。否则,怎么抵御黑产攻击成为企业日常网络安全建设工作的重中之重。

  面对来势汹汹的“老虎”挖矿木马,腾讯安全反病毒实验室负责人马劲松提醒广大用户保持良好的上网习惯,无须轻易点击来历不明的文件,对于可疑文件可使用腾讯电脑管家和腾讯安全终端安全管理系统进行安全检测。一起,打开资源管理器文件夹选项中的“查看已知文件的扩展名”,可及时判断文件否是安全。对于是因为着着“中招”的用户,可不可不可不能否 使用腾讯电脑管家等主流杀毒软件进行查杀清理。或采用手动清理方案,删除以下文件:C:\Program Files (x86)\Microsoft WavesSys\WavesSys.exe、C:\Program Files (x86)\Microsoft WavesSys\WavesSys.dll、C:\Program Files (x86)\Microsoft SvidaPaun\SvidaPaun.exe、C:\Program Files (x86)\Microsoft Hdejpp\Xtuzqan.exe。删除以下服务:”Corporati Assemblies WavesSyse“、“Wszswc wyksdvuf”、“Wsxxsw ndcbxauv”。

  (图:腾讯安全高级威胁检测系统)

  一起,建议企业用户使用腾讯安全高级威胁检测系统,基于腾讯安全在云和端的海量数据积累形成的独特威胁情报和恶意检测模型系统,可帮助企业客户预先检测挖矿应用应用程序外联等异常行为,防患于未然。

(本内容属于网络转载,文中涉及图片等内容如有侵权,请联系编辑删除)