近日，火絨安全團(tuán)隊截獲新蠕蟲病毒“SyncMiner” ，該病毒在政府、企業(yè)、學(xué)校、醫(yī)院等單位的局域網(wǎng)中具有很強的傳播能力。該病毒通過網(wǎng)絡(luò)驅(qū)動器和共享資源目錄（共享文件夾）迅速傳播，入侵電腦后，會利用被感染電腦挖取“門羅幣”，造成CPU占用率高達(dá)100%，并且該病毒還會通過遠(yuǎn)程服務(wù)器下載其他病毒模塊，不排除盜號木馬、勒索病毒等。

蠕蟲病毒“SyncMiner”會將自己復(fù)制到網(wǎng)絡(luò)驅(qū)動器和共享資源目錄，并偽裝成文件夾，誘使用戶點擊病毒文件，從而激活病毒，并通過添加計劃任務(wù)和開機啟動項的方式駐留在系統(tǒng)中。其中，病毒將計劃任務(wù)偽裝為Java運行庫的更新進(jìn)程，在繼續(xù)傳播的同時進(jìn)行挖礦；將開機啟動項偽裝為Adobe更新進(jìn)程，檢測并恢復(fù)病毒文件，使病毒屢殺不絕。

一、SyncMiner蠕蟲詳細(xì)分析
該病毒在運行后會將自身拷貝到%Appdata%\Java Sun和%AppData%\Roaming\Adobe路徑下，利用計劃任務(wù)和注冊表項實現(xiàn)病毒自啟動。該病毒會通過映射的網(wǎng)絡(luò)驅(qū)動器和網(wǎng)絡(luò)中的共享資源進(jìn)行傳播，并在被感染的機器上挖取門羅幣。

病毒總體邏輯
該蠕蟲病毒會將自身復(fù)制到映射的網(wǎng)絡(luò)驅(qū)動器和共享資源目錄中，并將病毒命名為video.scr，配合其具有誘導(dǎo)性的圖標(biāo)，欺騙用戶點擊病毒文件，從而激活攜帶的惡意代碼。

被病毒感染的共享文件夾
當(dāng)病毒運行時，會判斷傳遞給病毒進(jìn)程的參數(shù)，當(dāng)參數(shù)為“sync”時，會把病毒文件拷貝到%Appdata%\Java Sun路徑下，并將其注冊成名為“SunJavaUpdateSched”的計劃任務(wù)。

二、挖取門羅幣
該蠕蟲病毒在傳播到受害者機器上之后會利用受害者機器的計算能力來挖取門羅幣，病毒使用的門羅幣錢包地址首筆交易記錄是在2018年1月9日。挖礦的錢包地址和礦池，如下圖所示：

病毒會將存儲在PE鏡像中的多份配置文件相關(guān)的數(shù)據(jù)恢復(fù)成完整的配置文件，然后獲取其中的配置信息開始挖礦。

另外，該病毒除了以上的病毒功能之外，還會從C&C服務(wù)器（hxxp://data28.somee.com/data.zip）下載執(zhí)行其他的病毒模塊（不排除盜號病毒，勒索病毒等）。

ice

收藏 海報分享