PC內驚現挖礦病毒,殺軟對它無能為力 怎麼辦?
首先在貼吧里看到的在"C:UsersJohnAppDataLocalEthash" 目錄下面存在幾個名似:full-R23-c286f25d7b8f4ce9 的文件,單個大小在1.5~6G左右,查看文件具體信息,在最後發生更改的時間裡,只有當PC處於靜置狀態時會發生更改。只要一直在使用PC,該文件不會有任何變化。
這是在昨天凌晨最後發現他發生更改的時候,上午用卡巴斯基全盤查殺後,下午有一段時間沒有使用本子,原本查殺後已經將整個Ethash目錄刪除了,但是!它又出現了。本身這幾個文件是沒毒的。但是現在苦於根本無法找到病毒真身!國內百度似乎還沒有人報告這個問題,只有在Google上找到很多同類的。Reddit上也有很多。嘗試了Windows Defender、卡巴斯基、騰訊管家、比特梵德。
這是比特梵德最後給出的全盤掃描結果: 還不知道是不是這貨,竟然刪除失敗!不知道還有什麼解決辦法。被動挖礦,這種數據挖掘簡直就是硬體殺手。關於Ethash,GitHub上有一篇文寫的很詳細,不知道是否有大大願意看看:Ethash · ethereum/wiki Wiki · GitHub
截止目前來看,只有毒霸能殺誒:小心!「Ethash挖礦病毒」來襲,嚴重影響系統性能
附帶詳細報告:「Ethash挖礦病毒」來襲,源頭竟是看看影音!(內附詳細分析報告)
近日,部分用戶出現電腦GPU佔用率高,電腦溫度升高,風扇雜訊增大等問題。具體現象為電腦中C盤可使用空間驟降,且在C盤Ethash文件夾內,發現存在大量的1G左右的垃圾文件;電腦閑置狀態時,風扇轉速增快,電腦發熱增加,GPU使用率達到100%。非閑置狀態時,恢復正常。經過遠程調試分析發現是看看影音在後台偷偷利用用戶電腦的運算資源進行以太幣(一種類似比特幣的數字貨幣)挖礦導致。
安裝看看影音後,會註冊組件%APP_DATA%Video LegendRBCProgramRBCShellExternal.dll到註冊表的explorer載入項,從而開機即可載入運行,然後通過lua腳本控制,下載挖礦模塊到本地利用GPU挖礦,整個流程如下圖所示:
RBCShellExternal.dll分析
該組件是一個商業功能模塊,RBC是Remote Bussiness Control的縮寫。顧名思義,這個模塊可以通過遠程配置來控制用戶電腦上運行不同的模塊,比如升級、修復、廣告彈窗、推廣安裝等,也包括挖礦。
RBCShellExternal.dll會通過rundll32.exe來載入模塊RBCEntry.dll,並通過命令行參數來檢測調試工具。
完整命令行如下:
rundll32.exe "%APP_DATA%Video LegendRBCProgramRbcEntry.dll", Control_RunDLL /thread /src ..\..\Xar\Rbc.xar /killex /priority 0 /checktime /delay 1 /idle %d /busy %d /debug /bkwndlist "Microsoft Visual;HTTP Analyzer;WinDBG;OllyDebug;fiddler;SmartSniff; Spy++;Spy;ATL/MFC;任務管理器;DebugView;Process Explorer;File Monitor;Registry Monitor;Wireshark;OllyICE;OllyDBG;Sysinternals" /bkprocesslist "fiddler.exe;windbg.exe;devenv.exe;taskmgr.exe;wireshark.exe; httpanalyzer.exe;smsniff.exe;filemon.exe;regmon.exe;procmon.exe;ollydbg.exe;softice.exe;cis.exe; tasklist.exe;procexp.exe;ollyice.exe;processspy.exe;spyxx.exe;winspy.exe;cv.exe"參數/src指定了要載入的lua腳本模塊(已打包成xar格式),通過lua腳本來控制任務;參數/bkwndlist指定要查找的窗口標題,參數/bkprocesslist指定要查找的進程名,一旦枚舉到指定的窗口或進程名,立刻結束進程,防止被用戶發現。
LUA腳本分析
RbcEntry.dll封裝了LUA引擎,載入後首先解析Rbc.xar,然後調用其中的onload.lua,啟動整個腳本。Rbc.xar是任務調度模塊,核心功能是從雲端下載任務控制腳本並載入運行。Rbc.xar解包後目錄樹如下:Rbc.xar│└─layout│ onload.lua│ └─luacodekkp.curl.lua
rbc.base.lua rbc.eventsource.lua rbc.filter.lua rbc.helper.lua rbc.lua rbc.scheduler.lua rbc.setting.lua rbc.task.lua rbc.version.luaonload.lua主要功能是載入各個腳本,代碼如下:
最後載入rbc.scheduler.lua裡面包含了遠程配置的任務腳本url:http:/***.http://kankan.com/rbc/taskschedule_v1.2.dat
從各個函數名稱可以看出,該腳本是主要功能是調度任務的運行。而腳本taskschedule_v1.2.dat則是真正的任務腳本。
taskschedule_v1.2.dat中配置了各種任務的參數,其中挖礦任務的參數配置塊如下:
其中link就是該任務模塊的下載地址,通常是xar包;frequency是執行頻率;googleid和cnzzid是活躍統計標識。configurl是腳本裡面使用的遠程配置,主要是挖礦DLL模塊的下載地址和MD5,具體內容請看下文。
任務模塊下載後保存在%APP_DATA%Video LegendRBCTask目錄下:
整理所有任務URL,如下:
http:// ***.http://kankan.com/rbc/fixrbclaunch_v1.2.cabhttp://***.http://kankan.com/rbc/startip_v3.2.cabhttp://***.http://kankan.com/rbc/upkkp_v1.20.cabhttp://***.http://kankan.com/rbc/uprbc_v1.11.cabhttp://***.http://kankan.com/rbc/uprbcxar_v1.1.cabhttp://***.http://kankan.com/rbc/checkintegrity_v1.9.xarhttp://***.http://kankan.com/rbc/arkkp_v5.2.cabhttp://***.http://kankan.com/rbc/aikkp_v6.1.xarhttp://***.http://kankan.com/rbc/arfix_v1.0.xarhttp://***.http://kankan.com/rbc/dc_fixplugin_v4.2.luahttp://***.http://kankan.com/rbc/fixplugin_v12.0.cabhttp://***.http://kankan.com/rbc/fixplugin_v11.5.cabhttp://***.http://kankan.com/rbc/launchkkp_v10.1.xarhttp://***.http://kankan.com/rbc/launchkkp_v20.1.cabhttp://***.http://kankan.com/rbc/rbctip_v5.10.cabhttp://***.http://kankan.com/rbc/newstip_v2.21.cabhttp://***.http://kankan.com/rbc/rbcbiz_v3.3.cabhttp://***.http://kankan.com/rbc/rbcbizlite_v1.3.cabhttp://***.http://kankan.com/rbc/biztask_v2.1.cabhttp://***.http://kankan.com/rbc/fixpusher_v1.3.cabhttp://***.http://kankan.com/rbc/dc_task_v5.3.xarhttp://***.http://kankan.com/rbc/partnerlink_v2.2.cabhttp://***.http://kankan.com/rbc/partnerdll_v2.11.xarhttp://***.http://kankan.com/rbc/arbrowserlink_v2.9.xarhttp://***.http://kankan.com/rbc/dc_arbrowserlink_v2.3.xarhttp://***.http://kankan.com/rbc/arbrowserlinkq_v1.6.xarhttp://***.http://kankan.com/rbc/dc_arbrowserlinkq_v1.2.xar其中http://***.http://kankan.com/rbc/partnerdll_v2.11.xar是挖礦任務控制腳本,md5為8EF1948C5EA9B8113706CBFF1EBB8CF5;解包後只有一個腳本onload.lua,主要功能是根據配置參數configurl下載deploy64.dll到%TEMP%目錄下並載入運行。而deploy64.dll正是挖礦的主體模塊。
configurl配置的腳本內容如下:
裡面配置了deploy.dll的3個下載地址caburl、caburl_without、caburl_withoutwithdll,其中caburl是編譯了opencl的,caburl_without是沒有編譯opencl的,caburl_withoutwithdll是沒有編譯opencl但打包了OpenCl.dll的。但腳本中總是去下載caburl,最後調用rundll32.exe載入Deploy64.dll運行:
完整命令行如下:
c:windowssystem32undll32.exe 「%TEMP%Deploy64.dll」 ,Control_RunDLL index_class_d=%d其中參數index_class_d在taskschedule_v1.2.dat中的任務參數配置塊中指定。Deploy64.dll載入起來後就開始執行真正的挖礦代碼了,是導致GPU使用率大增、電腦過熱、C盤可用空間變小的真正元兇。
Deploy64.dll分析
Deploy64.dll載入後會創建2個線程:CSafeRT::MonitorThread和EthThread。其中CSafeRT::MonitorThread是監控線程,而EthThread是挖礦線程。CSafeRT::MonitorThread
該線程會創建一個窗口,窗口類名為__deploy_CSafeRTImpl,窗口名稱為__deploy_CSafeRTImpl_i_1_5,然後在窗口過程函數中檢測調試器和枚舉窗口,如果檢測到被調試或有檢測工具窗口存在則退出。
EthThread
Ethread是執行挖礦的主體線程,首先下載挖礦配置文件http://***.http://kankan.com/deploy/dtask%d_.ini,其中%d由傳入參數index_class_d指定,目前0-7有效。該配置文件內容如下:
讀取配置欄位後使用AES128演算法解密,得到p = 「http://eth-asia1.nanopool.org:8888」;us = 「0x7016df7C2d2AcF0DAc218A410e61002A66837151;
0xEaABAF0384EE73bca43c2A698e240d64de09081b;0x0af856fbEd6e93A01b3c4557D64edc99C5a5d46B;0x669F588F103764f98b94ceBFB6fB93bbd5dF2CFc;0xedC148759dFdFfA3EEfF01Ea64B2aBf20642799f;0xfE7c793eD4F16B6d05eC763D98389590b0c812E1;0xc556d14247A59d1E0886bB21b4fAe1481C744191;0xb1d42965F539eAF688938A16be47558053D57A52;0x6563b8A0a6238edc8c3bBD7E23AB6174DED92165;0x9C3dc3Bc89a0f16B1CBc2bA8b35427d286F783ec;0xFfB6faEF01A41330425ae1795601f6D3F7c1d762」
然後拼接得到 http://eth-asia1.nanopool.org:8888/0xFfB6faEF01A41330425ae1795601f6D3F7c1d762。
傳的參數給自身進程,開始挖礦。其中參數-G指定使用GPU挖礦,參數-F指定礦場url。挖礦開始後會在用戶目錄下生成Ethash目錄,其中的挖礦數據文件格式如下,單個文件大小超過1.5GB。同時造成用戶電腦GPU佔用率飆升,電腦發熱增大等現象。
以上就是看看影音利用用戶電腦運算資源進行挖礦的整個過程分析。由於看看影音本身屬於正常軟體,通常被各安全軟體直接信任,從而導致這種惡意行為難以被發現。目前毒霸可以查殺該惡意行為。
刪數據文件是沒有用的。如果是Winodws7以後,可以打開任務管理器里的資源監視器。在資源監視器的「磁碟」頁里查找有沒有試圖訪問這個文件的程序。找到了就可以刪除。如果系統比較舊,可以打開任務管理器看進程,挖礦的時候CPU佔用率會很高。另外可以看看啟動項有沒有不正常的程序,還有服務里有沒有不正常的服務(比如沒有具體描述的服務)。病毒可能會具有有反偵查機制,比如開一個監視進程,並在挖礦進程被殺死後能生成隨機命名的新挖礦進程,那以上方法都沒用了。當然不在電腦前面我不能說到底病毒的真身是怎麼隱藏的,最好還是找周圍能用到你電腦的人來看看。
我上周發現這個大文件夾,刪除後,依然寫入大文件,並重建ETHASH文件夾。
NOD32、Windows Defender、卡巴斯基、騰訊管家、360都試了,無任何發現。我前天決定格C盤重做win10,但昨天又出現了!昨晚設置文件夾許可權為拒絕寫入。大文件是寫不進去了,但昨晚出現如下圖的VC++ 出錯信息。(我沒拍下來,引用的貼吧吧友的圖回復:終於知道ethash這個隱藏文件夾是啥了!_windows10吧)
ed33 SID (S-1-5-21-833558198-771624723-1902019580-1001)授予針對 CLSID 為 {C2F03A33-21F5-47FA-B4BB-156362A2F239}、APPID 為 {316CDED5-E4AE-4B15-9113-7055D84DCC97} 的 COM 伺服器應用程序的 本地 激活 許可權。此安全許可權可以使用組件服務管理工具進行修改。
持續觀察ing 暫時無徹底的解決辦法。
================================================
前天我發現一個問題。在啟動項有個東西這個啟動項用360的啟動清理工具發現不了
然後我把上面那個IP用防火牆封堵了,一天了,還沒發現有新的文件夾生成。
=================================================================
=================================================================上面封IP的辦法似乎無效
毒霸的工作人員給出了新的方法電腦中毒,挖礦病毒!!!!如果發現:
1、在您的電腦里發現了Ethash文件夾,且裡面的文件都是大約1G左右的文件。
2、當您的電腦處於閑置狀態時候,聽見主機內部風扇轉速加快(但並不是說轉得快就是中毒了),發熱增大(當然,散熱不好本身也會增大發熱量)您可以先手動操作,方法如下:
1、將原Ethash文件夾刪掉,並建立一個相同名稱的文件夾,然後設置該文件夾的許可權,禁止寫入。2、全盤搜索一下Deploy64以及RBCEntry.dll文件,然後用的文件粉碎工具把他們粉碎掉(無法正常刪除),這些東西是迅雷看看帶的。按上面的辦法做了之後,持續觀察ing最簡單的方法就是重裝,最好還要格盤(你也不知道哪裡會重新染上)。
有能力不嫌麻煩的話,可以從processmonitor監控開始入手,找出相關進程等,總之就是按照手動查殺病毒的套路來限制網路連接,監視病毒進程,修改host,
換硬碟,進行物理人道毀滅
備份重要文件到OneDrive做一個WinPE U盤,放入Win10鏡像及Dism++進入PE的DiskGenius,重新分區並重寫引導解壓鏡像打開Dism++,文件-釋放wim,選擇解壓後的sourceinstall.wim,安裝路徑這些都選C盤。進度條到100%後重啟Bingo!
推薦閱讀: