WinstarNssmMiner:3天感染50万人的恶意挖矿软件

发布时间:2024-12-10 06:38

360安全的研究人员检测到一个旨在传播新型挖矿机的大规模恶意软件活动,仅在3天就感染约50万名受害者。

该恶意软件活动的核心主要一款新的恶意软件网络 WinstarNssmMiner,它主要针对的是 Windows 计算机。

WinstarNssmMiner 是当前见到的典型的密币挖掘恶意软件,它基于开源且合法的门罗币挖掘工具 XMRig。

关闭杀毒产品

研究人员并未提到 WinstarNssmMiner 是如何传播的,不过表示该挖矿恶意软件和活跃在目前市场上的其它密币挖矿威胁有很大不同之处。

研究人员指出,WinstarNssmMiner 的典型操作方式如下:

感染受害者

扫描 Avast 和卡巴斯基杀毒进程

如果用户使用了其中一款杀毒产品则放弃感染

如未使用杀毒产品则启动两个 svchost.exe 进程

其中一个进程是为了隐藏挖矿行为

第二个进程是为了监控其它杀毒进程

该进程也可关闭其它杀毒进程以避免遭检测

如遇卸载则触发计算机崩溃

WinstarNssmMiner 还具有另外一个功能。如果用户检测到隐藏的挖矿进程并试图关闭和 XMRig 存在关联的 svchost.exe 进程,它就会触发用户计算机崩溃,导致计算机重启。

崩溃产生的原因是 WinstarNssmMiner 将 svchost.exe 进程的属性设置为 “CriticalProcess”,因此当恶意进程被终止时,Windows 就会关闭计算机。

研究人员指出,该恶意活动设法挖到133个门罗币,折合2.8万美元。

另外两起挖矿活动

WinstarNssmMiner 并非360研究人员检测到的唯一一起新型挖币活动。他们还发现了和 WinstarNssmMiner 完全相反的 IdleBuddyMiner。后者并非偷偷从受感染主机上挖掘梦罗比,而是通过一个弹出消息要求获取用户权限。

另外,安全研究员还发现了第三起挖矿活动,它通过隐藏在一款已知的膨胀软件 “One System Care” 清理工具中的挖矿机进行传播。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]

网址:WinstarNssmMiner:3天感染50万人的恶意挖矿软件 http://c.mxgxt.com/news/view/118965

相关内容

能跟明星聊天的软件叫什么,能与明星交流的软件APP
能跟明星聊天的软件叫什么2022 能与明星交流的软件APP推荐
名人榜互粉软件官方下载
矿场挖出极品宝石引起轩然大波
一个50岁离婚男人的忠告:人到中年,有3件糊涂事不能做
内马尔感染新冠 感染新冠的明星名人还有这些
姓名配对软件,快手上明星名字配对是啥软件?
18楼追星女孩必备软件 哪种关注明星的手机软件最好用
十大社交聊天软件排行榜
谷歌星空app软件下载

随便看看