根据tinder查杀数据，发现挖矿病毒的套路都在这里

门罗币、比特币等虚拟货币应用的兴起，使得挖矿病毒（可以利用计算机资源获取虚拟货币）的活动和传播变得猖獗。企业作为终端聚集地，长期以来一直是挖矿病毒入侵利用的主要目标。根据今年上半年火融服务的企业用户统计，挖矿病毒占病毒问题的数量最多，高达28%。

我们发现该数据与火融2019年统计的企业用户挖矿病毒攻击结果相同，均占首位。为什么挖矿病毒会被攻击？能否成为企业面临的“头号病毒”？

通讯方式多样化。挖矿病毒可以通过漏洞、弱密码泄露、软件捆绑等多种渠道传播。企业员工安全意识参差不齐，擅自下载和运行来历不明的软件，或者企业管理员设置的终端和服务器密码比较简单，很容易被黑客远程破解等。这些常见的企业安全隐患都可能导致被挖矿病毒随时。成功入侵或植入企业网络

此外，挖矿病​​毒不仅携带挖矿模块，还携带具有横向传播能力的蠕虫模块，可通过企业终端漏洞自由传播，感染更多终端。

为了隐性利益的危险行为。挖矿病毒在运行时，由于占用大量系统资源，系统卡顿后很容易被用户检测到。因此，它将使用伪装成系统文件和无文件持久性等技术来保护自己。即使被用户发现，也不会轻易删除。 ，长期占用用户系统资源，挖矿获取收益。

虽然挖矿不会像勒索病毒一样瘫痪业务，但会严重影响终端性能，导致电脑变慢。整个企业的制造。

勤奋的更新功能。目前大多数常见的挖矿病毒都会长期更新，比如随时更换挖矿的币种，增加更多的传播方式危害挖矿，增加混乱，达到自我保护的目的。

例如，最近的“Driver Life”（也称为“永恒之蓝下载器”、“DTStealer”）木马已经更新了“Lemon Duck”、“Bluetea”和“BlackBall”等多个版本。这也是为什么同一个挖矿病毒的不同变种经常出现在一个企业的不同终端中，导致企业网络管理员难以处理的原因。

为解决挖矿病毒问题，企业除了提高员工的整体安全意识外，还需要结合安全软件进行安全防护。

目前火绒可以扫描并查杀所有流行的挖矿病毒，部分具有自我保护能力的病毒还会有专门的查杀工具进行清除。在防护方面，火融针对上述矿机病毒的主要传播渠道，具备【软件安装拦截】、【网络入侵拦截】等功能，可有效帮助企业规避矿机病毒的入侵。

另外，我们根据实际情况，筛选出了五种在企业中比较常见的挖矿病毒，并披露了感染后的一些主要特征和检测方法，以及使用绒毛的解决方案，所以以方便企业管理员及时查处处理。

一、DTStealer（又名“永恒之蓝下载木马”）

1、特性危害

该病毒是目前企业最常见的挖矿病毒之一，自2018年火融披露以来一直在积极更新，目前最新版本为“黑球”。

病毒运行后，除了进行挖矿活动、占用终端资源外，还会窃取终端信息并发回服务器，并利用钓鱼邮件、SMBexec、WMIexec、常见漏洞等网络自由传播.

2、感染症状

如果您的终端出现以下症状，很有可能是感染了这种病毒。

(1）出现一个具有以下名称的任务计划：

l 驱动程序

l 网络服务器

l DnsScan

l 蓝牙

l 凭证

l Rtsa

蓝茶

l 黑球

( 2）以下位置可能生成的病毒文件：

l C:\Windows\temp\svchost.exe

l %AppData%\Microsoft\cred.ps1

l %AppData%\flashplayer.tmp

l %AppData%\Microsoft\Windows\StartMenu\Programs\Startup\FlashPlayer.lnk

(3）U盘出现如下文件：

l 蓝色3.bin

l 蓝色6.bin

l (D-K) 蓝色3.lnk

l (D-K)蓝色6.lnk

(4）Tinder出现“隐藏执行PowerShell”、“使用PowerShell执行“可疑脚本”等系统加固拦截

(5）可能的URL访问拦截：

我啊。 com

l ackng.com

l zer2.com

3、解决方案

目前该病毒的组件模块可以被火融检测并杀死。但是，该病毒在 Intranet 中以多种方式传播。部署火绒侦破杀戮之后，还是有被其他中毒终端攻击的可能。记录。

所以在对付这个病毒的时候，大部分人都会选择在企业部署火融终端，通过火融中心进行全面查杀。处理中毒终端中的任务计划和病毒文件后，重启即可解决。

二、WannaMine

1、特征危害

挖矿病毒是2017年底发现的，也是企业中比较常见的挖矿病毒。病毒运行后会扫描企业网络中启用445端口的终端，并通过“永恒之蓝”漏洞在内网横向传播，感染更多终端进行挖矿。

2、感染症状

如果Tinder“文件实时监控”拦截并杀死以下目录中的“永恒之蓝”传输组件，则可能感染了该病毒。

l C:\Windows\SpeechsTracing\

l C:\Windows\NetworkDistribution\

Tinder“文件实时监控”干掉这个挖矿程序：

l C:\Windows\SysWOW64\dllhostex.exe

3、解决方案

本次挖矿只需要部署velvet即可快速扫描重启终端即可。重启后可选择全盘扫描或自定义扫描，对C盘中的病毒残留文件进行处理。

如果企业内多个终端被感染，可以通过Tinder Center执行上述操作。

三、隐藏（MyKings）

1、特性危害

Hidden（MyKings）由多个子僵尸网络组成，除挖矿外，该僵尸网络还包含DDoS、Proxy、RAT等恶意功能。 2017年以来，僵尸网络不断更新和传播。

病毒感染 MBR 并在系统启动时加载。加载时间比正常软件启动要早得多。加载成功后，除了执行恶意行为外，还进行了自我保护。

2、感染症状

终端被感染后，会出现以下特征：

(1）安全软件部署后，正常运行

l Sql Server日志中出现大量“sa”账号登录失败日志。

l 在Sql Server作业中，有一个异常的调度作业。

(2）出现如下任务计划

我的

l 米莎

没问题

(3）@ >出现如下文件：

l C:\Windows\debug\lsmo.exe

l C:\Windows\debug\lsmos.exe

l C:\Windows\debug\ok.dat

l C:\Windows\System32\ok.exe

l C:\Windows\temp\conhost.exe

l C:\Windows\System\msinfo.exe

3、解决方案

由于MBR被感染，系统启动时会加载病毒。如果在Tinder中毒的情况下部署使用，可能会出现Tinder“安全服务异常”的问题。

需要使用Tinder Killer修复MBR（Killer下载链接：），修复成功后重启，“Tinder安全服务”即可恢复正常，完全可以查杀。

四、隐藏阴影挖掘

1、特征危害

隐藏的影子挖掘于2019年2月被发现。该病毒利用网络上的大量公共资源（如免费图床）存储病毒模块。它将使用“永恒之蓝”在内网横向传播，感染更多终端进行挖矿。病毒运行后，会利用驱动程序阻止安全软件的正常运行，进行自我保护。

< @2、感染症状

终端被感染后，出现如下文件：

l C:\Windows\Temp\retboolDriver.sys

l C:\Windows\Temp\FlrefoxDriver.sys

l C:\ProgramData\dll\*

l C:\ProgramData\kuaizipUpdateChecker.dll

l C:\ProgramData\MS_17_0 10_Scan.exe

l C:\ProgramData\Microsoft\Chromme.exe

l C:\ProgramData\Flrefox.exe

3、处理方法

由于本次挖矿会使用驱动阻碍安全软件的正常运行，需要先用绒毛杀灭，或者进入“网络安全模式”，防止病毒继续运行，用丝绒彻底扫杀。目前挖矿病毒的所有组件都可以被杀掉和处理。

五、紫狐

1、特征危险

Purple Fox病毒于2018年首次被发现，多年来一直活跃，除挖矿外，该病毒还具有刷流量、DDoS、盗号、恶意推广等恶意行为。并且会通过软件捆绑、Ghost镜像、永恒之蓝、Sql爆破、服务漏洞等方式传播。

2、感染症状

被感染的终端，会出现以下文件：

l C:\Windows\System32\Ms**** ****App.dll（* 为任意字符）

3、处理方法：

病毒会通过驱动进行自我保护，需要杀掉处理（专门杀掉下载地址：），杀掉重启后会恢复正常。

安全建议

1.部署Tinder企业版，设置定时查杀，及时发现并处理企业安全问题，防止因处理不当导致大量病毒传播。

2.查看使用的系统镜像、PE系统、激活工具等。因为无论是安装系统、使用PE还是使用激活工具，大多是在部署安全软件之前使用。例如，系统或工具携带病毒，可能不受安全软件保护。

3. 员工下载、安装、使用软件时，如果安全软件被举报中毒，请勿添加信任，继续使用。如对结果有异议，可上传至火融安全协助分析。

4. 限制有安全风险的端口和服务，如139、445端口（SMB）、3389端口（RDP远程桌面）等企业大多默认开启，大多数终端不需要使用，可以限制使用 Tinder。 .

5.如果发现企业存在安全问题，但无法确定影响和危害的范围，可以联系火融分析企业安全问题，帮助您处理。

p>

附上火种相关报告：

“隐藏”病毒团伙升级技术传播病毒，暴力入侵电脑威胁全网用户

《司机人生》利用高危漏洞12月14日半天传播病毒感染数万台电脑

“柠檬鸭”蠕虫病毒持续传播危害挖矿，以各种暴力方式攻击用户电脑