國家計算機病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測,發(fā)現(xiàn)一款偽裝成Windows系統(tǒng)幫助文件的遠(yuǎn)控木馬���,攻擊者通過遠(yuǎn)控木馬下發(fā)挖礦程序到被害主機����,占用主機資源進行挖礦���。
服務(wù)DLL文件Remote.hlp是一個偽裝成Windows幫助文件的后門程序����,僅從字符串分析�����,就能夠得到許多功能信息�����,而此次事件捕獲的域名所關(guān)聯(lián)的后門程序中��,均存在一條“TheCodeMadeByZPCCZQ”標(biāo)識字符串。由此可以推斷��,這些后門程序均來源于同一款遠(yuǎn)控生成器��,并且通過對后門dll的字符串分析�,其中有很多中文描述的控制操作,所以可以確認(rèn)是一款漢化的遠(yuǎn)控程序��。除了持久化駐留的后門程序�����,在被害主機中存在通過后門投放的挖礦程序�,偽裝成銀行圖標(biāo)���,占用主機資源進行挖礦���。該樣本中服務(wù)名稱為.Net CLR,研究員排查過程中發(fā)現(xiàn)有過“Ias”�、“FastUserSwitchingCompatibilty”,這些服務(wù)指向的DLL程序都是母體釋放的Remote.hlp����。
建議用戶不要安裝未知來源的軟件,在正規(guī)網(wǎng)站下載軟件。同時提高安全意識����,及時為操作系統(tǒng)、常用軟件等打好補丁���,以免受到該惡意程序的危害����。