導(dǎo)語：近日，深信服安全團隊追蹤到一新型的挖礦病毒，該病毒與普通挖礦病毒有很大差異，普通挖礦沒有特殊防護，而該病毒采用了驅(qū)動進行防護，十分罕見。

1、挖礦病毒

近日，深信服安全團隊追蹤到一新型的挖礦病毒，該病毒與普通挖礦病毒有很大差異，普通挖礦沒有特殊防護，而該病毒采用了驅(qū)動進行防護，十分罕見。

與多數(shù)挖礦病毒一樣，感染主機會出現(xiàn)異?？D現(xiàn)象，且CPU占用率過高。該病毒使用了驅(qū)動保護，無法通過任務(wù)管理器中止病毒進程，很難查殺。深信服已將該病毒命名為ProtectionX。

感染ProtectionX病毒后，系統(tǒng)中會存在3個進程：母體1sass.exe及其子進程wuauc1t.exe與win1ogon.exe，注意名稱中是“1”而不是“l(fā)”。其中win1ogon.exe進程占用大量CPU資源。

嘗試終止1sass.exe進程，提示“拒絕訪問”。而終止wuauc1t.exe和win1ogon.exe進程后，又會重新起來！這里，是因為有驅(qū)動保護了1sass.exe，而1sass.exe又防護了wuauc1t.exe與win1ogon.exe，環(huán)環(huán)相扣，多層護體。

2、行為分析

病毒執(zhí)行流程如下：

主要包括3個模塊：自保護、持久化以及挖礦模塊。其中自保護模塊用于保護病毒母體進程不被殺掉，持久化模塊添加開機自啟動，挖礦模塊會進行挖礦并殺掉別的挖礦進程以及其他一些CPU占用高的進程。

2.1 病毒文件

病毒母體1sass.exe為一個win32程序，加了VMP殼。

2.2 自保護模塊

釋放ProcessExtended.dll模塊到本目錄并加載。

調(diào)用ProcessProtectionX函數(shù)。

ProcessProtectionX函數(shù)首先釋放一個驅(qū)動文件到%Temp%目錄，驅(qū)動文件名由7個隨機的字母加數(shù)字組成。

安裝驅(qū)動，服務(wù)名為hy5.5。

與驅(qū)動通信，將自身進程ID發(fā)送給驅(qū)動。

驅(qū)動中使用了SSDT HOOK，HOOK掉了NtOpenProcess從而實現(xiàn)進程保護。

刪除驅(qū)動文件。

2.3 持久化模塊

為1sass.exe添加自啟動，注冊表路徑為

“HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font”。

 

2.4 挖礦模塊

挖礦模塊包含兩個進程：wuauc1t.exe和win1ogon.exe。由1sass.exe釋放并運行，隨后進入循環(huán)對這兩個進程進程守護。

2.4.1 搶占資源

wuauc1t.exe的功能為搶占CPU資源，由1sass.exe釋放到同一目錄下并運行，運行時傳入?yún)?shù)“win1ogon.exe”。

首先遍歷系統(tǒng)進程并獲取其CPU占用率?！癙rocess\ % Processor Time”用于獲取過程的所有線程在每個處理器上的處理器時間總和。

獲取除傳入?yún)?shù)“win1ogon.exe”、本進程以及“explorer.exe”以外的CPU占用較高的進程。

終止掉CPU占用較高的其他進程以及其他挖礦進程。

終止的其他挖礦進程列表如下：

2.4.2 挖礦

win1ogon.exe為挖礦進程，也是由1sass.exe釋放到同一目錄下并運行。礦池為pool.minexmr.com:7777。

有了其他兩個進程的保駕護航，挖礦進程可以最大限度的利用系統(tǒng)資源進行挖礦。

3、解決方案

病毒防御

1、及時給電腦打補丁，修復(fù)漏洞。

2、對重要的數(shù)據(jù)文件定期進行非本地備份。

3、更改賬戶密碼，設(shè)置強密碼，避免使用統(tǒng)一的密碼。

4、可以嘗試使用PC Hunter強制刪除并結(jié)束進程1sass.exe、wuauc1t.exe、win1ogon.exe。

5、刪除注冊表項HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font。

最后，建議企業(yè)對全網(wǎng)進行一次安全檢查和殺毒掃描，加強防護工作。