罕见!驱动护体的挖矿病毒ProtectionX

即日,坚信服中卫协同任务追踪到一时新的挖矿病毒,该病毒与普通挖矿病毒有很大不符合,普通挖矿缺少特别防护,病毒是由独一防护器驱车旅行的。,绝稀有。

与少数挖矿病毒同样的,传染节目主持人发作非常用盒包装景象。,CPU受雇率太高。。病毒运用驱车旅行顺序保卫。,无法经过任命理事暂缓担当管理人的病毒增长。,这很难被害。。确信病毒已被命名为保卫X。。

保卫性病毒传染后,零碎中有3个做事方法。:母体及其子做事方法,请理睬,清晰度是1而不是L。。这样地做事方法受雇了大批的CPU资源。。

图片.png尝试终止妊娠增长,立刻的回绝参观。终止妊娠和处置后,并且它还会再次响起。!在这一点上,它被驱车旅行和保卫。,并受到保卫。,环环相扣,多层体。

图片.png

一、行动辨析

病毒担当管理人做事方法如次:

图片.png它首要由3个模块结合。:自保卫、有恒化又挖矿模块。里面的自保卫模块用于保卫病毒父增长不被被害。,有恒化模块在枪弹中添加枪弹,挖矿模块会停止挖矿并抢走别的挖矿增长又休息必然的CPU受雇高的增长。

病毒包装

病毒父是Win32顺序。,添加VMP外壳。

图片.png

自保卫模块

将模块使分娩到这样地目次并负担它。。

图片.png图片.png

大声喊增长保卫X作用。

图片.pngProcessProtectionX作用率先使分娩独一驱车旅行包装到%Temp%目次,驱车旅行顺序包装名由7个随机字母附带说明数字结合。。

图片.png使直立驱车旅行,效劳清晰度是。

图片.png与作司机沟通,将本人的增长ID发派遣驱车旅行顺序。。

图片.pngSSDT在驱车旅行顺序中运用。 HOOK,钩子放弃NopPoto成真做事方法保卫。。

图片.png图片.png

迅速离开驱车旅行顺序包装。

图片.png 有恒化模块

添加自启动,挂号处途径为“HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font”。

图片.png 挖矿模块

挖矿模块象征两个增长:和。使分娩和运转,那时的进入圆以保卫这两个增长的增长。。

图片.png

.1 夺得资源

其效能是珍惜CPU资源。,从发行物到相同的目次并运转,在运转时输出的决定因素。

图片.png图片.png

率先,经过零碎做事方法获取CPU受雇率。。“Process\ % Processor 工夫用于获取增长中全部线状物的总处置器工夫。。

图片.png

获取输出决定因素、这样地做事方法和CPU受雇了独一高尚的的增长。。

图片.png图片.png

终止妊娠掉CPU受雇较高的休息增长又休息挖矿增长。

图片.png

终止妊娠的休息挖矿增长列表如次:

图片.png.2 挖矿

为挖矿增长,也从发行物到相同的目次并运转。似矿物的池。

图片.png图片.png

还要撇开两个做事方法来护航。,挖矿增长可以最大限的应用零碎资源停止挖矿。

二、receiver 收音机

病毒矫正

1。即时补上电脑。,修理凿洞。

2。要紧数据包装的时限非本地新闻伴奏的。。

三。更改存款密码电文,设置强密码电文,预防运用一致密码电文。。

4、可以尝试运用PC机。 猎人力迅速离开与完毕做事方法、、。

5.迅速离开挂号处项HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font。

最终的,提议聚会停止中卫检查和防病毒SCA。,提高保卫任务。可取之处运用坚信服中卫收获+用作防火墙+EDR,Intranet收获、杀人与保卫。

*本文作者:特立尼达中卫研究室,请从转载中选出。

发表评论

电子邮件地址不会被公开。 必填项已用*标注