亚洲欧美成人在线,高清欧美亚洲国产下载网站在线观看

欧美午夜人成精品_好姑娘3完整版在线观看中文韩剧_性ⅩXX东北老太老头国产_一个添下面两个吃奶把腿扒开_日本波多野结衣无码黄色一级视频_国产剧情麻豆正在播放_亚洲欧美另类日韩变态首页_亚洲av免费影视_91免费在线播放_五月丁香婷婷综合

新聞資訊

最新資訊

聯(lián)系我們

手機：13714172796
郵箱：yanghe@lhxn.net
地址：深圳市龍華區(qū)民治街道民治社區(qū)1970科技園8棟1樓112

行業(yè)動態(tài)

首頁 > 行業(yè)動態(tài)

火絨華南銷售及服務中心 | 終端變“礦場”，挖礦病毒借破解版軟件無聲“開礦”

隨著互聯(lián)網的發(fā)展，各類軟件的功能日益強大，市面上出現(xiàn)了越來越多的付費軟件或提供高級功能的訂閱服務。為了進行教育與學習、或是節(jié)省成本以獲取軟件的高級功能，尋求并使用未經官方授權的破解軟件或許已經成為一種常見現(xiàn)象。雖然破解版軟件可以暫時滿足使用的需求，但同時也可能會帶來病毒感染等風險，輕則影響計算機性能、重則威脅自身信息安全和財產安全。

近期，火絨威脅情報中心監(jiān)測到 XMRig 挖礦病毒正在通過破解軟件進行傳播，該破解軟件下載鏈接由 CSDN 用戶在其發(fā)布的文章中提供。破解軟件中的腳本可以進行創(chuàng)建計劃任務、檢查 CPU 數(shù)量與修改挖礦線程數(shù)等操作，最終執(zhí)行 XMRig 挖礦病毒進行挖礦。目前，火絨安全產品可對上述病毒進行攔截查殺。同時，我們希望廣大用戶能夠提高警惕，不要輕易下載和運行來源不明的文件，不要輕信部分軟件分享內容中提供的關閉殺毒軟件等建議，并通過官方正規(guī)渠道下載使用正版軟件，以防企業(yè)或個人信息泄露以及避免財產損失。

查殺圖

該樣本執(zhí)行流程圖如下所示：

流程圖

火絨工程師對樣本的分析過程中，發(fā)現(xiàn) CSDN 用戶在其發(fā)布的文章中不僅提供了該破解軟件的下載鏈接，還添加了“部分殺軟會因該版本軟件未購買簽名證書而阻止運行，可通過將軟件目錄加入排除項或者信任區(qū)來解決?！钡摹坝亚樘嵝选保T導用戶將此破解版軟件添加信任。

破解軟件下載文章

此外，該用戶還發(fā)布了其他類似的破解軟件分享文章，其中的軟件都含有挖礦病毒。

其他文章

調查后發(fā)現(xiàn)，發(fā)布分享此類含有挖礦病毒的破解版軟件文章的用戶并非個例。截至目前，已發(fā)現(xiàn)以下用戶均發(fā)布了相關內容：

https://blog.csdn.net/SM2268XT2?type=blog # 名稱為已注銷
https://blog.csdn.net/Seika3092?type=blog
https://blog.csdn.net/baobao__36?type=blog
https://blog.csdn.net/smartyguy80?type=blog
https://blog.csdn.net/2404_87139007?type=blog
https://blog.csdn.net/2404_87213641?type=blog
https://blog.csdn.net/YS9085N?type=blog
https://blog.csdn.net/2403_87087630?type=blog
https://blog.csdn.net/RTS5766DL?type=blog
https://blog.csdn.net/2404_87210054?type=blog
https://blog.csdn.net/2400_87157272?type=blog
https://blog.csdn.net/SM2263XT?type=blog
https://blog.csdn.net/yhnmj678?type=blog
https://blog.csdn.net/2201_75554009?type=blog
https://blog.csdn.net/2401_85381299?type=blog
https://blog.csdn.net/2304_76306332?type=blog
https://blog.csdn.net/randkmr?type=blog

其中，最新發(fā)布的文章日期是 2024 年 12 月 27 日。

最新發(fā)布文章日期

最終經過實際下載查看后，發(fā)現(xiàn)破解軟件中攜帶的挖礦病毒均指向同一礦池 104.168.101.23。

一

樣本分析

start_everEdit.bat 文件頭添加了 FF FE，使得文件按照 UTF-16 LE 格式打開，從而導致文件內容顯示為亂碼。

腳本文件頭

bat 文件亂碼

腳本功能：

使用管理員模式重新打開該腳本。
通過修改注冊表鍵值以實現(xiàn)禁用用戶賬戶控制（UAC）的目的。其具體操作是將 ConsentPromptBehaviorAdmin、EnableLUA 和 PromptOnSecureDesktop 設置為 0。
使用 attrib +s +h 命令將 EverEdit.exe 的文件屬性設置為系統(tǒng)和隱藏屬性。
執(zhí)行 add.ps1 腳本，執(zhí)行的命令為 Add-MpPreference -ExclusionPath ($pwd).Path。其功能是將當前目錄添加到 Windows Defender 的白名單中。
通過遍歷目錄并統(tǒng)計文件數(shù)量的方式驗證文件完整性：若文件總數(shù)為 5，則正常執(zhí)行 EverEdit.exe；若文件數(shù)量異常，則提示用戶檢查殺毒軟件隔離區(qū)并恢復文件，或關閉殺毒軟件后重新解壓運行程序。
利用 wmic 獲取 CPU 核心數(shù)，并將 CrashReporting.bat 中挖礦程序的線程數(shù)修改為 CPU 核心數(shù) / 2，以降低其 CPU 占用率。
創(chuàng)建計劃任務，在用戶登錄時延遲 5 分鐘運行批處理文件 CrashReporting.bat 。
執(zhí)行 CrashReporting.bat 文件。

start_everEdit.bat

使用戶添加信任區(qū)或關閉殺軟

計劃任務

該腳本在執(zhí)行 CrashReporting.bat 文件的過程中，會運行 XMRig 挖礦程序 EverEdit_license.exe 。該挖礦程序指向的礦池 IP 為 104.168.101.23， -B 表示后臺執(zhí)行， -t 表示線程數(shù)。其中，線程數(shù) -t 會按照 CPU 核心數(shù)的情況作出相應修改，如果 CPU 核心數(shù)為 2，線程數(shù)就會被設置為 1。

CrashReporting.bat

在實際運行該病毒后發(fā)現(xiàn)無法連接到礦池。通過進行多地 ping 測試，發(fā)現(xiàn)黑龍江和北京地區(qū)連接礦池時出現(xiàn)超時現(xiàn)象。

ping 圖

更換地區(qū)后則可以正常運行，且此時 CPU 占用率會提高。

下圖為去掉 -B 參數(shù)后顯示的內容。從其中 new job 一行的日志中可以看到，病毒運行所采用的算法是 algo rx/0 ，該算法在 xmrig 文檔中記錄為門羅幣，由此可以推斷該私人礦池正在挖取門羅幣。

挖礦病毒運行圖

門羅幣判斷

CPU 占用率提高

其中， CPU 占用率提高的原因在于病毒在挖礦過程中需要不斷調整隨機值，計算區(qū)塊頭的哈希值，直至找到一個小于當前網絡目標值的哈希值。這一行為會導致計算量增大，從而使得 CPU 占用率升高。

挖礦病毒可以通過多種途徑侵入用戶電腦。檢測是否感染挖礦病毒的常見方法是查看 CPU 的占用率，如果 CPU 占用率一直處于比較高的狀態(tài)時，則需要懷疑是否中了病毒。

二

附錄

HASH：

講點大白話

有的小伙伴表示沒有學過計算機知識，看不太懂這篇文章，那么你可以參考如下說明。

在數(shù)字宇宙深處，蟄伏著一些神秘礦工（挖礦病毒）。這些礦工十分狡猾，他們會偷偷潛伏在CSDN星球上部分居民分享的資源（破解版軟件）中，暗暗等待獵物上鉤。而資源的分享者往往會熱心囑咐說：“你可以信任并放心使用這些資源哦~”然而，一旦有受害者采掘并開始使用這些誘人的資源，這些礦工就會迅速入侵到計算機系統(tǒng)中。他們像邪惡的殖民者，把系統(tǒng)變成自己的礦場，還會利用計算機的能量，無情地挖掘并盜取其中的珍貴資源。等到受害者突然發(fā)現(xiàn)，或許自己計算機的能量與財富都已經被消耗殆盡了。

目前，火絨安全產品能夠攔截查殺此類病毒。在這里也再次提醒廣大用戶，認準官方渠道，非官方渠道軟件安全性無法保證，各平臺下載需謹慎！同時，也希望大家能夠擦亮雙眼，不要輕信未經官方授權的破解版軟件分享內容中所謂關閉殺軟或加入信任區(qū)的“友情提示”~

全國統(tǒng)一服務熱線

友情鏈接