“比特币病毒”再现，伪造微软企业签名挖矿转比特币！

▌今日币价

Btc$9,178/Eth$740/Eos$17.7

近年来，比特币等数字货币的流行，导致病毒黑客蜂拥而至。 他们通过各种手段谋取利益，主要包括两种，一种是利用勒索软件直接向用户勒索比特币，另一种是利用挖矿病毒让受感染的用户挖比特币。 这两种方式严重威胁着所有网民的上网安全。

2017年5月，名为WannaCry的勒索病毒席卷全球，涉及中、美、俄、欧等100多个国家；

2017年6月，新型“Petya”勒索病毒再次肆虐全球，影响英国、乌克兰、俄罗斯、印度、荷兰、西班牙、丹麦等国家；

2017年10月，新型勒索病毒BadRabbit再次在东欧爆发，严重影响了乌克兰和俄罗斯的企业和基础设施。

勒索软件变得越来越猖獗和复杂。 重大勒索事件之所以选择比特币作为赎金，主要是因为比特币的便捷性和隐蔽性，在大多数国家难以监管，这会导致不法分子利用勒索软件向用户勒索比特币进行交易，导致比特币越来越多，越来越多的勒索软件病毒。

除了通过勒索软件直接勒索比特币外，不法分子还会通过挖矿病毒获取比特币。 不法分子利用2017年新曝光的各种漏洞，如Windows系统的MS17-010、Struts 2的S2-045和S2-046、weblogic的反序列化漏洞等，疯狂抓取互联网上的各类Bot。 过去，这些僵尸程序用于 DDOS 活动，但今年这些僵尸程序大多用于挖矿。

随着参与者的增加，Coinhive这种利用浏览器挖矿的技术方法诞生了。 当用户访问网页时，挖矿程序会在用户电脑上运行，占用大量系统资源比特币为什么不能伪造，导致CPU使用率骤增。 提高，甚至高达 100%。 Coinhive技术的出现引起了不法分子的广泛关注。 各路攻击者攻击正常网站，挂载JS脚本替换广告脚本。 他们通过劫持流量、搭建钓鱼网站等方式，在用户浏览器中疯狂挖币，造成严重威胁。 所有互联网用户的互联网安全。

由于挖矿木马病毒不会破坏用户电脑中的数据和数据，因此不会像勒索病毒一样造成用户重要数据丢失，数据无法找回。 挖矿木马病毒只会潜伏在用户电脑中，定时启动挖矿程序进行计算，大量消耗用户电脑资源，导致用户电脑性能下降、运行速度变慢、使用寿命缩短. 由于该病毒的非破坏性和隐蔽性，即使用户的计算机被感染，也不会像勒索病毒一样立即被感知。

近日，火绒实验室截获了一种新型后门病毒。 该病毒具有极强的破坏性。 入侵用户电脑后，会执行多种病毒模块，窃取用户的比特币、门罗币等主流虚拟货币的数据信息，同时利用用户电脑疯狂挖矿（“门罗币”制作） ，还会伺机通过远程控制敲诈用户。

此外，该病毒团伙非常狡猾，不仅利用高度隐蔽的“不加载文件”技术，让普通用户难以察觉，还伪造了亚马逊、微软、火绒的数字签名比特币为什么不能伪造，成功躲过了国内大部分安全系统。 软件查杀。 目前最新版本的“火绒安全软件”可以对后门病毒进行拦截查杀。

关于火绒团队：火绒是一家纯粹专注的终端安全科技公司（PC、手机等信息终端），坚持自主研发终端安全核心技术和产品。 火绒以“让每个人都能安全、安静、自由地使用智能终端设备”为企业使命，以“中国信息安全第一品牌”为企业成长愿景。

火绒杀截图

以下是活动详情

火绒截获了病毒样本，病毒样本会通过访问C&C服务器下载并执行各种病毒模块。 病毒模块的功能包括：挖矿、勒索、信息窃取。 病毒运行后，首先会执行三个远程脚本，下载勒索软件、挖矿病毒，可能还有间谍软件。 勒索病毒会一直潜伏在后台，伺机勒索。 挖矿病毒会先被evil.js直接下载，然后伪装成explorer.exe带参数运行。 ps5.sct实现了核心功能，负责后续的主机信息收集和服务器命令的执行。 从目前服务器返回的数据来看，仅用于下发挖矿命令。

病毒恶意行为流程图如下图所示：

病毒执行后会执行远程恶意VBScript脚本和SCT脚本。

下面详细分析病毒下载并执行的多个脚本文件

ps5.sct

ps5.sct 是经过混淆的 SCT 脚本。 作为有效负载，它由 regsvr32 远程执行。 它使用powershell结合dotnet的静态方法创建一个子线程来执行shellcode。 shellcode会向ssl2.blockbitcoin.com请求数据，下载一个结构异常的pe 恶意dll，dll会从远程服务器获取命令，然后执行。 火绒分析时，服务器发送的指令为挖矿指令。

解密后的ps5.sct相关代码，如下图所示：

解密脚本代码

上述shellcode下载的恶意dll的GetCommand_and_run函数实现网络访问获取服务器命令。

病毒代码

通过动态调试，发现偏移量0x305252E处的恶意dll调用了网络操作相关的API，连接到网站ssl2.blockbitcoin.com。 压栈的内容，如下图所示：

病毒代码reg99.sct：

reg99.sct 也是一个经过混淆的 SCT 脚本。 作为有效负载，它由 regsvr32 远程执行。 它会根据系统架构决定执行var_func（32bit）还是​​va_func2（64bit）。 这两个函数会发布不同版本的evil.js。 然后下载对应的挖矿病毒及相关代码逻辑，如下图所示：

解密脚本代码

挖矿病毒相关关键数据（文件名：explorer.exe，与资源管理器进程名一致），如下图所示：

截至2018年5月8日，根据钱包地址查找结果，如下图：

钱包收益截图

通过行为分析可以看出：

1、每5分钟执行一次reg9.sct中的恶意代码，保证挖矿的正常进行。 命令如下图所示：

2、使用wmi下载运行挖矿病毒和勒索软件。 命令如下图所示：

文本文件

sp.txt是经过混淆处理的VBScript病毒脚本，会下载并执行勒索软件（文件名：core.scr）。 解密后的脚本代码如下图所示：

勒索病毒相关的关键数据，如下图所示：

勒索软件加密采用RSA非对称加密。 公钥数据，如下图所示：

尝试终止以下exe程序，如下图所示：

程序初始化字符串表，保存常用数据库的主程序名，通过循环调用结束进程函数终止这些程序的进程，从而取消文件占用。

加密以下文件后缀，如下图：

在火绒测试过程中，发现由于远程脚本的变化，也可以下载间谍病毒。 该病毒让浏览器安装adblockplus插件，通过向js文件写入一段代码，可以过滤用户的比特币钱包信息。 窃取用户信息。

间谍病毒相关关键数据（文件名：SVTHOST.EXE），如下图所示：

火绒多次下载后发现，该病毒整体功能保持不变，但特征信息变化频繁，可能是为了避免被查杀。 证书签名属于同一个CA，签名者通常被伪造成其他知名软件厂商的名字。 ，如：微软、亚马逊、Tinder。

第一次下载的程序的签名信息

第二次下载的程序签名信息

第三次下载的程序签名信息

溯源分析

在病毒样本资源的版本信息中找到了火绒，其语言版本为简体中文，如下图所示：

该病毒还在文件信息中伪装成“金山毒霸安装工具”，如下图：

文件属性中的“文件描述”翻译为：“金山毒霸安装工具”

在病毒远程下载的样本中，火绒发现伪造的数字签名中包含中国制造商，如下图所示：

伪造“Tinder”签名

综合以上信息，火荣认为病毒作者为中国人的可能性更大。

此外，除了本文提到的病毒外，火绒此前还发现了可能窃取用户银行账户和比特币账户信息的“TrickBot”和52pk.com病毒等病毒。

如果您近期浏览过危险异常网站，可以通过“火种安全软件”拦截查杀后门病毒，防止比特币丢失。

关注公众号区块链福利机构，后台回复“区块链”

200份千元区块链全套秘籍限量抢