大黄蜂远控挖矿木马是如何分析与溯源的?
- 内容介绍
- 文章标签
- 相关推荐
本文共计2048个文字,预计阅读时间需要9分钟。
事件背景:近日,腾讯安全反病毒实验室发现了一类具有爆发趋势的远程控制马具。
发现过程:通过跟踪发现,此类马具不仅保留了远程控制的功能,而且随着虚拟货币价格的上涨,马具的传播也呈上升趋势。
结论:木马加入了挖矿功能。
事件背景:近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿的功能,用用户的机器事件背景:
近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿的功能,用用户的机器来实现自己利益的最大化。通过哈勃同源系统的分析发现,木马作者还在频繁的更新木马功能、感染用户量也在迅速增加,值得引起我们足够 的关注。下面我们会从感染后现象、影响范围、技术分析及溯源上做详细介绍和分析。
现象与危害:
感染现象
感染该类木马后,您的计算机CPU经常占用 100%,并且 会发现常驻进程 winInit.exe。同时,查看启动的服务,会发现名为Apache Tomcat 9.0 Tomca9 的服务处于启动状态。
影响范围:
通过访问黑客的服务器,可以看到恶意程序 xz.exe和xz32.exe 都有上万的下载量。 并且,通过观察发现,每日新增下载量也不断增大, 病毒程序感染了越来越多的受害者。
本文共计2048个文字,预计阅读时间需要9分钟。
事件背景:近日,腾讯安全反病毒实验室发现了一类具有爆发趋势的远程控制马具。
发现过程:通过跟踪发现,此类马具不仅保留了远程控制的功能,而且随着虚拟货币价格的上涨,马具的传播也呈上升趋势。
结论:木马加入了挖矿功能。
事件背景:近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿的功能,用用户的机器事件背景:
近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿的功能,用用户的机器来实现自己利益的最大化。通过哈勃同源系统的分析发现,木马作者还在频繁的更新木马功能、感染用户量也在迅速增加,值得引起我们足够 的关注。下面我们会从感染后现象、影响范围、技术分析及溯源上做详细介绍和分析。
现象与危害:
感染现象
感染该类木马后,您的计算机CPU经常占用 100%,并且 会发现常驻进程 winInit.exe。同时,查看启动的服务,会发现名为Apache Tomcat 9.0 Tomca9 的服务处于启动状态。
影响范围:
通过访问黑客的服务器,可以看到恶意程序 xz.exe和xz32.exe 都有上万的下载量。 并且,通过观察发现,每日新增下载量也不断增大, 病毒程序感染了越来越多的受害者。