安全狗解读挖矿病毒：为何越来越难清除

　　近期安全狗海青安全研究实验室捕获了一个新的挖矿木马样本,目前网络上还未见到关于它的分析。与以往的木马相比,这次捕获的样本有了不小的“进化”:手段更加隐蔽,清除更加困难。我们对它的各项特点进行了分析,希望给行业内带来针对此类木马的新的认识,进而发掘更有效的防护措施。详细内容可以关注公众号“安全狗”了解，这里只是摘取部分重要内容。

　　木马特点

　　1.纯powershell编写挖矿前置脚本,不是像以前那种使用批处理等简单挖矿了,使用一系列持久化机制,保证自身挖矿功能;

　　2.探测防火墙,探测虚拟机,探测反木马软件,进行对应的行为;

　　3.修改防火墙及反木马软件配置及策略,避免一些防护软件扫描,以及防火墙将挖矿链接阻断;

　　4.缓存认证密码,可选增加用户等机制;

　　5.使用代理中转连接,每个肉鸡都是代理服务器,增加了追踪溯源难度;

　　6.使用更新维护机制,若不清除干净,会常常复发;

　　7.系统隐藏目录存放文件,且很难清除;

　　8.清除竞争对手,保证自己利益最大化;

　　9.使用涉及各方面技术较多。

　　处置方案

　　1、进程清理

　　清理转发规则:

　　Powershell运行以下命令

　　Start-Process PowerShell.exe -ArgumentList("-c &{netsh interface portproxy delete v4tov4 listenport=757;netsh interface portproxy delete v4tov4 listenport=703;pause}") -Verb runas

　　清理带有System32driversWmiPrvSE.ps1文件路径的进程(可能已经退出)

　　2、注册表清理

　　病毒配置:HKEY_LOCAL_MACHINESYSTEMSoftwareMicrosoftDriversPath

　　防火墙配置清除

　　检查防火墙配置

　　HKLM:SOFTWAREPoliciesMicrosoftWindows DefenderExclusions

　　将防火墙策略配置修改为正常状态

　　修改

　　HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential 为0

　　为0

　　3、文件清理

　　删除目录及文件

　　C:WindowsFontsarial

　　C:WindowsFontsLogs

　　C:WindowsFonts emp

　　C:WindowsFonts tf

　　c:windowsSoftwareDistributionconfig.xml

　　c:windowssystem32driversen-USGpCheck.ps1

　　c:windowsSystem32driversWmiPrvSE.ps1

　　C:WindowsSystem32driversetcservices

　　C:WindowsSystem32driversetcprotocol

　　C:WindowsSystem32driversetc etworks

　　C:WindowsSystem32driversetclmhosts.sam

　　C:WindowsSystem32driversetchosts

　　若为域则要清除\$domainsysvol$domainPolicies及其子目录下的explorer.exe

　　正常情况下文件资源管理器是看不到logs目录的,而且显示了隐藏文件夹(win10和winserver2008下)也看不到,但可以在cmd或者powershell可以探测到

　　使用PCHUNTER强行删除,或者进入安全模式下删除,或者使用强力的杀毒软件对指定目录进行清除。

　　4、服务清理

　　服务名cspsvc,显示名为Cryptographic Service Providers。

　　5、任务计划清理

　　任务计划GpCheck

　　6、批量排查

　　Nmap批量扫描999端口

　　账户adm,密码14370

　　7.主机病毒木马检测