注意!双平台挖矿木马MServicesX借用白签名躲避杀毒软件

时间:2020-01-14 来源:www.adxplorer.com.cn

随着冬天的到来,天气变得凉爽了,许多用户的电脑和手机似乎都感冒了:突然异常发热和耐力低下。这种现象需要小心,你的设备可能被特洛伊人劫持并在采矿中用作“苦力”。近日,腾讯情报安全威胁情报中心发现一款带有视窗和安卓版本的挖掘木马MServicesX悄然流行。中毒的电脑和手机将运行门罗硬币开采程序,导致异常发热,甚至设备损坏。目前,腾讯的电脑管家已经能够对病毒进行全面的调查和杀毒,同时提醒广大用户不要下载和安装来历不明的应用程序。手机用户可以打开腾讯的手机管家进行实时安全保护。

(照片:腾讯电脑管家杀死MServicesX mining特洛伊木马)

据了解,MServicesX mining特洛伊木马非常擅长伪装,在电脑端使用带有合法数字签名的文件,以避免被安全软件杀死。安卓手机甚至伪装成Youtube视频播放器软件。当不知情的用户在手机上观看视频时,病毒会在后台运行门罗硬币挖掘程序。数据显示,采矿特洛伊木马MServicesX(MservicesX)最近很活跃,感染量波动很大,并迅速传播到世界各地。在中国,广东、江苏和香港是受影响最大的三个地区。

在追溯病毒的来源后,发现该病毒的视窗版是通过提供各种游戏下载和安装的游戏下载站传播的。特洛伊木马隐藏在游戏安装包中。游戏安装程序运行时,会提示用户关闭杀毒软件并释放木马文件“MServicesX_FULL.exe”。安装包运行后,病毒还会将版本更新设置为计划任务,并每三小时运行一次,以将特洛伊木马程序更新到最新版本。它将使用后台程序挖掘矿井,并尽可能多地提取用户的中央处理器资源。

(图:MServicesX挖掘木马通过游戏网站传播)

值得注意的是,木马文件MServicesX_FULL.exe使用合法的数字签名“16qplimit”来逃避安全软件的检测和杀毒。此外,腾讯情报安全威胁情报中心对类似样本进行了扩散分析,发现了大量具有合法签名的类似样本,包括“Spinex Solutions Ltd”、“Extrebal limited”和“Kupui ltd”,在这些白色签名的掩护下,挖掘木马MServicesX能够“瞒着世界”,成功入侵用户的电脑。

(照片:MServicesX挖掘特洛伊木马使用白签名来避免杀毒软件)

除了电脑用户,安卓手机用户,尤其是经常观看Youtube视频的用户,也应该小心。研究人员还在微软服务公司木马的C2地址找到了安卓程序YouTube layer 2 . apk的安装包。从文件名可以看出,安卓病毒会通过假冒的Youtube播放器传播,导致“成功”用户手机的内存被占用,不可避免地会导致手机发热、耗电更快等异常现象。