摘要一种利用加密货币挖矿的恶意软件约1000台设备受到攻击,全球已感染超过222000台机器。该恶意软件至少从2018年6月开始传播,最新版本于2020年11月发布。研究人员表示,只要人们下载破解软件,恶意软件就会继续传播。已发现名为Crackonosh的恶意软件,这是一种在攻击过程中滥用Windows安全模式的加密货币挖掘恶意软件。它通过盗版和破解软件传播,经常出现在种子下载、论坛和“warez”站点中。Avast研究人员将此恶意软件命名为Crackonosh。该恶意软件至少从2018年6月开始就一直在传播,第一批受害者运行的是伪装成合法软件的破解版软件。每天约有1000台设备受到攻击,全球有超过22.2万台机器被感染。它主要使用系统计算能力和资源来挖掘门罗币(XMR)(一种加密货币)。Crackonosh总共从Monero中赚取了至少200万美元,开采了9,000多个XMR。到目前为止,已识别出30个恶意软件变体,最新版本于2020年11月发布。感染过程(1)启动感染链从一个安装程序和一个修改Windows注册表的脚本开始,允许运行主要的恶意软件可执行文件在安全模式。受感染的系统被设置为在下次启动时以安全模式启动。(2)杀毒软件当Windows系统处于安全模式时,杀毒软件将不起作用。这允许恶意Serviceinstaller.exe轻松禁用和删除WindowsDefender。它还使用WQL查询所有已安装的杀毒软件SELECT*FROMAntiVirusProduct。Crackonosh将检查Avast、Kaspersky、McAfee的扫描仪、Norton和Bitdefender等防病毒程序的存在,并尝试禁用或删除它们。然后擦除日志系统文件以掩盖其痕迹。(3)阻止Windows更新Crackonosh也会尝试阻止Windows更新,并用假的绿色勾号托盘图标替换Windows安全。(4)挖矿最后部署一个XMRig,它是一个加密货币矿机,利用系统的计算能力和资源来挖门罗币(XMR)(一种加密货币)。Avast研究人员表示,只要人们下载破解软件,恶意软件就会继续传播。
