亿破姐
给你所需要的内容YPOJIE.COM!

新型挖矿病毒预警 Wmixml 挖矿病毒入侵渗透服务器

近日安全研究人员在接到某某企业的求助称其公司内网大量服务器存在挖矿问题,且难以清理干净。

经过深入研究分析,发现这是一种新型的挖矿病毒,属全国首例,其病毒机制与常规挖矿相差很大。

在追踪后发现了病毒入侵途径,已将此病毒命名为wmixml挖矿病毒,同时制定了详细的应对措施。

该wmixml挖矿病毒在感染内网服务器后查杀难度极其的困难,wmixml 可以绕过杀毒软件的拦截。Wmixml,新型挖矿病毒预警 Wmixml 挖矿病毒入侵渗透服务器

不同于常规挖矿病毒,wmixml恶意病毒的挖矿功能体以密文文件的形式存在而不是常规的独立exe。

wmixml感染主机上,会有一个加载病毒体dll,在被系统进程svchost.exe加载后读取挖矿密文文件。

在内存中解密后再将挖矿原体注入到另外一个系统进程svchost.exe中,由于解密动作发生在内存中。

目前已绕过了大量杀毒引擎,达到了免杀的目的,此次攻击,可谓有备而来绕开杀毒软件上做足功夫。

appmg.dll是加载病毒体(system32目录下),负责加载挖矿功能,wvms_dp.inf是挖矿密文数据。

即其二进制是经过特殊加密处理的,不能直接被运行执行,由于密文文件不是pe格式等可执行文件。

杀软自然扫描不出来,此外,为了保证免杀效果,又将解密后的挖矿病毒体注入到系统进程中执行。

wmixml挖矿病毒的危害是显而易见的,即长期压榨受害者主机性能,长期为黑客默默赚外快收入。

此外wmixml挖矿病毒在隐蔽性方面做的非常高明,一般的挖矿,通常会尽可能多的压榨受害者CPU

使之长期达到80%以上的占用率,但这个wmixml病毒作者,却严格限制并稳定在25%的CPU占用率。

赞(1006) 赞赏支持
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《新型挖矿病毒预警 Wmixml 挖矿病毒入侵渗透服务器》
文章链接:https://www.ypojie.com/3903.html
免责声明:本站为个人博客,所有软件信息均来自网络,您必须在下载后的24个小时之内从您的电脑中彻底删除上述内容;版权争议与本站无关,所有资源仅供学习参考研究目的,如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
本站为非盈利性站点,并不贩卖软件,不存在任何商业目的及用途,网站会员捐赠是您喜欢本站而产生的赞助支持行为,仅为维持服务器的开支与维护,全凭自愿无任何强求。

观点 抢沙发

发表观点前必须登录!

 

如果本文对您有所帮助,请赞赏作者进行支持呦~

支付宝扫一扫打赏

微信扫一扫打赏