名为“AV.scr”“Photo.scr”“Video.scr”的服务器挖矿病毒
北纬的鳕鱼
编辑于 2023年09月04日 09:11

病毒文件:AV.scr,Photo.scr,Video.scr等

病毒名:Worm/Python.Systweak.a

病毒ID:91539ba6837b71d0


一、前言

最近闲来无事,用火绒杀查了一下电脑。不查不知道,一查吓一跳,火绒竟然爆出了25个风险项目!

这些蠕虫病毒哪里来的呢?通过查询这些病毒文件所在的路径,可以发现它们原来是来自当初为了方便共享而搭建的简易的FTP服务器

这些病毒入侵了我的FTP服务器,并且遍历了服务器内的所有路径和文件,在每一层路径中都扎根埋种。

而它们竟然在我的电脑里埋伏了将近四个月。


二、分析

这些病毒文件是什么呢?它们是怎么工作的呢?它们如何破坏系统?如何判断是否被感染并且祛除这些病毒?

为了防止电脑被感染,我将这些病毒进行备份提取后,再移至虚拟机,利用火绒剑等软件监控这些病毒的运行,并且找到了它们的目标。

首先,将“AV.scr”“Photo.scr”“Video.scr”三个文件的哈希值进行比较,可以发现三个文件除了名称不同,其余均相同,属相同病毒文件

其次,用火绒剑,任选三者其一打开,并其监控行为。

在监控中,我们可以发现,该病毒文件在WIN系统的运行大致逻辑如下(xxxx均指用户名称):

  1. 以屏幕保护程序的身份运行,读取注册表、调用相关DLL;

  2. “C:\Users\xxxx\AppData\Local\Temp”下创建以“_MEIXXXXX”为名称的文件夹;

  3. 在上述文件夹内写相关文件;

  4. 创建进程,读注册表,调用DLL;

  5. “C:\Users\xxxx”写自释放文件HelpPane.exe

  6. 修改、写入第3步写的文件;

  7. 利用系统程序将第2、3步的文件写至“C:\Windows\Temp”

  8. 删除第2、3步写入的文件;

  9. 结束病毒的安装。

写入的文件(1)

写入的文件(2)(在_MEIxxxxx文件夹中)

通过写入的文件我们可以发现,该病毒是一种挖矿病毒,主体是“xmrig”这一款软件。

其中,根据病毒写入的文件我们大致可以推断该病毒利用Python进行编写;此外,在写入的certifi和httplib2文件夹中,存储了相关SSH密钥。


三、处理

1.如何预防该病毒?

在搭建FTP服务器时,尽量不启用匿名登陆,或者修改匿名登陆默认密码。

2.如何判断是否感染该病毒?

检查服务器内是否存在“AV.scr”“Photo.scr”“Video.scr”“info.zip”等文件;通过任务管理器检查是否存在名为“HelpPane.exe”和“xmrig.exe”的进程;检查如“C:\Users\xxxx”下是否有“HelpPane.exe”文件,“C:\Windows\Temp”下是否有如图“写入的文件(1)”中所示的内容;利用杀毒软件杀查病毒。

3.如何处理该病毒?

千万不要点开(双击打开等)scr文件!

WIN系统下将服务器内的病毒文件全部删掉,将系统内病毒写入的文件删除完毕即可(可使用文件粉碎软件防止病毒恢复);利用杀毒软件隔离病毒。

如果病毒难以清除,建议重装系统!

注:LINUX下未见感染性(ubuntu)。

感谢阅读!