导语:腾讯安全御见威胁情报中心捕获到一例挖矿蠕虫病毒攻击事件,黑客通过VNC爆破服务器弱口令,得手后先下载门罗币挖矿木马,同时在被感染的电脑上分别验证超过3300万个邮箱帐号密码,若验证成功就向该邮箱发送欺诈勒索邮件。
简介
腾讯安全御见威胁情报中心捕获到一例挖矿蠕虫病毒攻击事件,黑客通过VNC爆破服务器弱口令,得手后先下载门罗币挖矿木马,同时在被感染的电脑上分别验证超过3300万个邮箱帐号密码,若验证成功就向该邮箱发送欺诈勒索邮件。邮件中威胁:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。”
我们根据病毒的验证任务系统推测已知受害邮箱帐户超过3300万个,包括Yahoo、Google、AOL、微软在内的邮件服务均在被攻击之列。由于主模块编写者为“Burimi”,且具有内网传播能力,腾讯安全专家将其命名为“Burimi”挖矿蠕虫。
详细分析:
木马启动后尝试用内置密码列表爆破VNC服务器。
爆破成功后会在目标VNC服务器下载木马程序。
木马启动后连接http[:]//193.32.161.77/v.exe下载v.exe,从文件的pdb信息看作者为“Burimi”。
入口处检测虚拟机以及调试器,环境不匹配就会退出。
禁用安全中心提示,减少被用户发现的概率。
拷贝自身到c:\windows\[random]\win[random].exe并设置run启动项,启动项名
Microsoft Windows Driver
感染U盘以及网络磁盘,写入antorun.inf
劫持剪切板钱包地址,劫持到黑客的钱包地址,目前支持BTC,XMR等。
BTC已经劫持到0.14697873个。
从以下域名中下载1.exe~8.exe。
挖矿模块2.exe
2.exe启动后释放文件:
C:\ProgramData\[random]\cfg
C:\ProgramData\[random]\cfgi
C:\ProgramData\[random]\windrv32
C:\ProgramData\[random]\r.vbs
windrv32挖矿模块,cfg是挖矿相关配置,包括矿池和账号。
r.vbs设置挖矿模块启动项。
邮件勒索模块3.exe
首先访问获取任务ID(URL暂不公布),从本次监控到的ID已达1691个。
每个任务文件携带20000个邮箱账户&密码。
由此可见,入侵者掌握的邮箱帐户数量已超过3300万个,包括yahoo、Gmail、Aol、msn、hotmail等美国知名邮箱服务均受影响。病毒会根据已泄露的用户密码来验证密码正确性,一旦验证成功,就会向该邮箱发送欺诈勒索邮件,声称知道受害用户的所有密码,并限时3天缴纳价值900美元的BTC,不然就把用户的所有隐私信息公布在网上。
黑客接收BTC的钱包地址:1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17,目前看已成功收到0.01BTC。
安全建议
1、更换VNC连接密码为复杂密码,防止类似爆破攻击事件;
2、关闭不必要的网络文件共享、关闭计算的U盘自动播放等功能,减少中毒可能;
3、推测攻击者使用了已泄露的大量邮箱帐号做攻击尝试,我们建议使用yahoo、Gmail、Aol、msn、hotmail邮箱的网友,
在收到勒索邮件之后,不必过度恐慌,不必支付比特币。注意更改邮箱帐号密码,启用双重验证,确保帐号安全。
也可以按以下步骤手工清理。
删除文件:
C:\ProgramData\FtqBnjJnmF[random]\cfg
C:\ProgramData\FtqBnjJnmF[random]\cfgi
C:\ProgramData\FtqBnjJnmF[random]\windrv32
C:\ProgramData\FtqBnjJnmF[random]\r.vbs
c:\windows\48940040500568694\v.exe
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ ftUPeSPdpA.url[random]
删除注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Driver
IOCs
钱包
1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17
1Gx8oRKKczwdB32yiLzVx5hsjAze6g5HHw
qqax27xlp3mlj2xxvg8c907hsjl8rn2c6vvg02zqmk
24dZQuCGWPxHAo541yQ5Ry7diFui4r5PvPYw9569fHSJEZfv1uWdgtxFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97t7VaTr
XkaCs9F83uMSNe8F42uX5VbBD9GVTSnp3D
DAyF8DeCqJMJhSwKaTPfJH6FXT7jgw8Tnh
0x8b7f16faa3f835a0d3e7871a1359e45914d8c344
LWxEL2THVBbUK1hSjUf617WLRVEGR7iajp
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQksjQpiLQVUNjzt3UF
PMtseqzh1KbDrGhzcBcXwgU3sJuWK65AJS
t1YmUJ56BtdzoW5oMCxRdngdG4hJP5vKFca
URL
soruuoooshfrohuo.su
aoruuoooshfrohuo.su
roruuoooshfrohuo.su
toruuoooshfrohuo.su
toruuoooshfrohuo.su
uoruuoooshfrohuo.su
foruuoooshfrohuo.su
zeruuoooshfrohuo.su
zzruuoooshfrohuo.su
bbruuoooshfrohuo.su
soruuoooshfrohoo.su
aoruuoooshfrohoo.su
roruuoooshfrohoo.su
toruuoooshfrohoo.su
toruuoooshfrohoo.su
uoruuoooshfrohoo.su
foruuoooshfrohoo.su
zeruuoooshfrohoo.su
zzruuoooshfrohoo.su
bbruuoooshfrohoo.su
soruuoooshfrohlo.su
aoruuoooshfrohlo.su
roruuoooshfrohlo.su
toruuoooshfrohlo.su
toruuoooshfrohlo.su
uoruuoooshfrohlo.su
foruuoooshfrohlo.su
zeruuoooshfrohlo.su
zzruuoooshfrohlo.su
bbruuoooshfrohlo.su
soruuoooshfrohfo.su
aoruuoooshfrohfo.su
roruuoooshfrohfo.su
toruuoooshfrohfo.su
toruuoooshfrohfo.su
uoruuoooshfrohfo.su
foruuoooshfrohfo.su
zeruuoooshfrohfo.su
zzruuoooshfrohfo.su
bbruuoooshfrohfo.su
ssofhoseuegsgrfnj.su
unokaoeojoejfghr.ru
osheoufhusheoghuesd.ru
fafhoafouehfuh.su
auoegfiaefuageudn.ru
aiiaiafrzrueuedur.ru
osuhughgufijfi.ru
agnediuaeuidhegsf.su
ouhfuosuoosrhfzr.su
agnediuaeuidhegsf.su
unokaoeojoejfghr.ru
URL
hxxp://thaus.to\1.exe
hxxp://thaus.to\2.exe
hxxp://thaus.to\3.exe
hxxp://thaus.to\4.exe
hxxp://thaus.to\5.exe
hxxp://thaus.to\6.exe
hxxp://thaus.to\7.exe
hxxp://thaus.to\8.exe
…
IP
193.32.161.77
193.32.161.69
MD5
ef7ffba4b98df751763464f404d3010c
f895a1875b3e112df7e4d548b28b9927
1d843f799da25d93d370969e126c32fa
3e26d2428d90c95531b3f2e700bf0e4c
33e45f80f9cbfd841242e8bb4488def1