之前我们曾报道过“Gentoo Linux 的 GitHub 仓库被入侵，意图删除所有文件”的消息，Gentoo Linux 的 Github 仓库在6月28日晚上受到黑客攻击，并成功取得了组织的控制权。攻击者篡改了存储库的内容以及页面，并用恶意 ebuild 文件替换了 portage 和 musl-dev trees 中的文件，意图删除储存库上的所有文件。Gentoo 的开发者在发现问题后，发出预警邮件，Gentoo GitHub 组织权限被冻结。 之后，Gentoo 在官网发布多条公告说明事件的处理进度，直到 5 天后的7月3日，Gentoo 才正式将事件标记为已解决，恶意提交和被污染的文件已处理，Gentoo GitHub 组织被重新解锁。Gentoo 还在其官网上发布了一篇关于整个事件的详细报告，并表示收集的相关证据表明事件的根本原因是他们使用的密码方案过于简单，在某个站点上的披露使得攻击者很容易猜出在其他不相关网页的密码，致使攻击者获得了组织管理员的密码和访问权限。 稿源：开源中国，封面源自网络；

讯 北京时间7月4日上午消息，本周二，美国网络安全公司CipherTrace发布报告称，今年上半年，针对加密货币交易所的盗窃行为飙升至整个2017年的三倍，相关洗钱活动也因此增加了三倍。 该报告着眼于全球反洗钱市场。报告指出，今年前六个月，数字货币交易所共有7.61亿美元价值的加密货币被盗，相比之下，整个2017年交易所的被盗资金约为2.66亿美元。 据CipherTrace估计，2018年全年的损失可能会上升到15亿美元，目前，该机构正在推出一款软件，帮助使用或交易加密货币的交易所和对冲基金履行反洗钱法规。 CipherTrace公司首席执行官戴维·杰文斯（Dave Jevans）在接受路透社采访时说：“今年被盗的加密货币金额是去年的三倍多，所以，趋势明显不利。” 杰文斯也是反网络钓鱼工作组的主席，该组织旨在帮助解决网络犯罪。 他补充说，被盗的虚拟货币最终将被洗白，以帮助罪犯隐瞒真实身份，逃避追捕，其结果是导致洗钱犯罪数量增加了三倍。 最近一次偷窃交易是韩国交易所Bithumb损失了价值3200万美元的数字货币。 杰文斯说，加密货币犯罪的激增已经引起了全球监管机构和执法部门的注意。 例如，该报告还援引了美国财政部金融犯罪执法网络（FinCEN）对于犯罪活动上升的担忧，其中提到通过加密货币进行隐匿性赎金支付，研究表明，在过去两年多的时间内，有15亿美元在交易所交易中被盗。 杰文斯说，世界各地的监管机构、全球执法部门和交易所一直在持续对话，讨论需要在加密货币产业中采取何种措施，才能防止犯罪的激增。 他说：“现在我们看到大人物们齐聚一堂，要求进行反洗钱监管——这是不可避免的，它将是一场统一行动，而且将是全球性的。”   稿源：，稿件以及封面源自网络；

环球网综合报道，据美国“侨报网”6月27日报道，盗窃身份的网络黑客现在已将黑手伸向了持有社会安全号码(SSN)的年幼孩子——甚至包括新生婴儿，因为这些孩子从来没有购买过任何东西，这意味着他们有一个“完美”的信用记录，而黑客在窃取了这些拥有“完美”信用记录的身份信息后，会在黑市网站上进行兜售，并会向买家解释如何使用这些信息伪造欺诈性税务记录或申请信用卡而不被抓获。不幸的是，当这些孩子长大后，他们可能会发现自己的信用出了问题，但纠正信用历史问题或欺诈性购买等将是非常困难或根本不可能做到的事情。 纽约医疗保健公司Cynerio首席执行官里尔曼(Leon Lerman)指出，该公司研究人员已发现，在“黑暗网站”上有一个复杂的市场，被盗数据可通过一定的渠道分销给最终用户，而黑客作为黑市价值链的顶端，已将大量原始患者数据出售给买家。而这对公众尤其是孩子的家长也提出了警示。 对此，他表示，为了避免个人信息外泄，除非绝对需要，否则应尽量保护个人信息的安全。一旦有孩子信息被盗，家长必须为孩子注册新的社安号。 BTB安全管理公司合伙人施乐西特(Ron Schlecht)也指出，黑客之所以窃取儿童数据，还因为它可以与其他数据相结合。例如，由于SSN和出生日期数据是真实的，黑客可使用伪造的名称和地址建立信用记录，而这是一种将真实信息和虚假信息结合起来的欺诈行为。 对此，消费及商业专家建议，孩子家长最好定期检查孩子们的信用记录。黑客对婴幼儿下手主要因为很多家长多年来疏于对孩子信用历史的检查。若孩子信用被滥用，可能需要他们靠年份积累来补救和恢复他们的身份和名誉，在极端情况下，他们可能需要获得一个新的社安号。此外，父母还应注重保护孩子的身份信息，切勿随意向外透露，包括学校、医院等。   稿源：环球网，封面源自网络；

雷锋网报道，今年世界杯期间，黑客“烈剑”的 DDoS攻击业务接单简直接到手软，而且“金主爸爸”们出手都很阔绰，这应该是他从事“中介服务”的四年中，生意最好的时候。 不差钱的金主爸爸来自几家不同的博彩网站，他们找到“烈剑”的目的很简单：用最快、最狠的DDoS攻击搞垮竞争对手的网站，把用户吸引到自己的平台上来。 云端 DDoS 黑产链 在圈内，这类金主爸爸被称为“发单人”，他们有些来自赌博、彩票和游戏私服等网站，用黑客技术手段对同行的服务器进行攻击致使其宕掉，在圈内早已是惯用伎俩。 而烈剑在圈内更像是一个中介，由于懂技术，接到金主的单后，烈剑会迅速找到技术不错的“攻击手”，这些人可以用手头现有的软件和工具来操纵肉鸡，让它们对目标网站进行模拟访问，占据其服务器的 CPU 资源，以此来把正常用户抵挡在门外。或者，直接发送大量流量攻击目标服务器，导致服务器无法访问网络。 在这个黑产链条中，“肉鸡商”和“出量人”也是攻击武器的重要提供者，他们手中掌握着已经搭建好的“肉鸡集群”和“流量平台网页端的服务”，在实施攻击前，这些“肉鸡商”已经利用后门程序和漏洞，获得电脑和服务器的控制权限，并植入木马，使得这些计算机变成能实施 DDoS 攻击的“肉鸡”。 而“出量人”作为拥有服务器控制权限和网络流量的人，能够租用专属服务器并自行配置攻击软件从而获取流量。 在利益面前，各路黑产配合默契，攻击“武器”这两年越来越先进，这也让烈剑的生意越做越大。 其实，除了处于灰色地带的一些比较边缘的网站，一些跟国计民生相关的关键基础设施也会遭到 DDoS 攻击，目前，互联网、金融、能源制造、政府机构等多个行业中，都面临着相似的风险。 上云后的超级DDos攻击 要说近几年越来越猖獗的 DDos 攻击，其实还要拜“上云”所赐。 正如一枚硬币的两面，网络带宽增加后，更高速、更广泛的网络连接让我们的生活更加的便利，但这也为DDoS 攻击创造了极为有利的条件，以前黑客获取一个IP 后，可能对应的只是一个普通的用户，但现在获取了一个IP，他可以在拿到后门后去查属于哪个服务商，是不是整片云是不是有同样的问题。 中国电信网络安全产品运营中心的高级产品经理张晓华，就带来了近几年电信网内的攻击趋势图↓↓↓ 张晓华回忆，在2013年的时候，大部分客户的主机还是在自己的机房里面，最多也就是在 IDC 机房，然后扯上一根 2M 的线，直接接到服务器上面，所以那时虽然也有 DDos ，但攻击量并不大。 随着近几年客户逐渐上云，接入带宽变大，配备的都是上百G的云资源池，这就出现了两点变化，一是一旦成为肉鸡，能够往外攻击的流量也会变大；二是随着能够涌入的流量增多，需要投资和配备的防护设备也需要相应升级。 这就如同你们家原来的门只是一个小门，一次最多只能同时进来两个人，要挡住坏人，简单的小防盗门就可以，由于人数少，哪些进来的是好人，哪些是坏人，也好分辨。但现在你们家的的门变成了一扇巨大的门，可以同时拥进上百个人，这时原有的防盗门就会不堪一击。 更加糟糕的情况是，随着黑产使用的各类攻击“武器”在不断升级，针对 DDos攻击的防护成本远远大于攻击成本，而且由于肉鸡的数量众多，对于攻击源的追查难度很大。 目前，出于商业竞争、打击报复和网络敲诈等多种因素，很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直成为DDoS攻击的目标，而随之而来出现的同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。 要想解决上百个人堵在门口，而正常用户却被挡在门外这个问题，有一个办法就是从攻击源头就开始治理，这就如同你要阻止100个人从全国各地来到你这里闹事，最好的办法不是在等他们集结好之后，在闹事地点等他们，而是在他们出发的时候，就能够识别出他们，在源头进行治理，张晓华把这称为—近源清洗，而这个平台，被称为“云堤”。 换句话说，清洗就是把正常的用户放进来，把肉鸡挡在门外，让业务可以正常进行。 于用户而言，他们可以对攻击流量无感知；于运营商而言，可以通过在攻击流量发起侧网络内处置掉攻击流量，提高运营商网络的资源利用。 为什么要搞近源清洗 抗击DDoS的方式有很多，为什么电信要选择云上做近源清理这种方式？ 这还得从电信作为一家运营商所拥有的监测系统讲起。 与其他安全厂商不同，作为一家运营商，其本身就有DPI（基于应用层的流量检测和控制技术）、Netflow 监测系统、Botnet 监测系统、僵木蠕监测系统以及DNS等提供的实时信息来进行监测。 黑客无论是要干什么事情，最终还是得用运营商的网络的，而如果凭借早就在网络中布下的各类监测设备，就可以为最终的“抓捕”提供线索。 凭借电信自身的能力就可以达到监测的目的？你们不买外部的威胁情报吗？ 对于雷锋网的这个问题，张晓华透露，威胁情报在整个处理过程中，其实更多的是处于一个补充的作用。 除了有识别能力，还得有处理能力，你能看出哪个是坏人，还要有把坏人撂倒的本事，重要的是还不能伤及无辜。 张晓华透露，运营商所具有的网络部署与路由调度能力也是他们的杀手锏之一，通过调度能力，就可以直接实现超大规模的网络层/应用层攻击防护，通过云化分布式清洗中心可同时协同处置区域攻击流量，这时单节点处理能力就能得到协同节点的有效补充。 据雷锋网了解，目前这个清洗中心在国内有26个，未来会逐渐云话，张坦言，虽然网撒的很大，但在应用层的防护方面，未来依然需要加强对防护策略的制定，希望最终能做到客户完全不需要自己的处理的程度。 雷锋网还注意到，即将公布的《网络安全等级保护条例》中，对于云上的安全也提出了更高的要求，以防DDos为例，现在的标准会要求“肉鸡”也要承担主体责任。 简单来说，你不仅要时刻注意自己有没有被 DDos攻击，还要确保自己不成为肉鸡，去攻击别人。 这些肉鸡某种程度上，如同电影《釜山行》中的丧尸，虽然你很无辜，你被别人咬了，但被咬的后果就是你马上也会成为一个攻击者，去伤害更多无辜的人。   稿源：雷锋网，作者：郭佳，封面源自网络；

美网络安全巨头宣称：美国卫星系统遭遇黑客攻击！ 据称，军事领域的卫星系统也被侵入！ 美国著名网络安全公司赛门铁克（Symantec）星期二（19日）说，该公司基于人工智能的网络安全监控工具，最近发现黑客组织正在针对美国和东南亚国家的卫星通讯、电信、地理太空拍摄成像服务和军事系统进行网络攻击。 赛门铁克公司在一份声明中说，该公司自2013年开始追踪这一他们取名为“特里普”的网络攻击组织。声明说，赛门铁克基于人工智能的“针对性攻击分析”（Targeted Attack Analytics, TAA）工具在2018年1月发现，一些来自若干地区的计算机展开了针对卫星系统的恶意行动。 赛门铁克公司认为，这一组织的袭击属于网络间谍行为，但暴露了他们破坏袭击目标的操作系统的策略。赛门铁克公司称，因此可以判定，该组织可以对目标采取更具进攻性的和破坏性的活动。 赛门铁克CEO格雷格·克拉克（Greg Clark）说：“特里普组织从2013年开始运作，他们最近的活动使用标准的操作系统工具，所以那些被袭击的组织不会意识到他们的存在。他们的活动很隐蔽，深度嵌入到网络活动中，我们使用了人工智能查明并标记了他们的活动，这才将他们发现。” 赛门铁克的声明说，黑客组织这次对电信部门和卫星操作系统的袭击行动显示，黑客可以拦截甚至篡改网络运营机构传输给用户的通信。 克拉克说：“让人警觉的是，这一组织似乎对电信、卫星操作系统和军事防务公司特别感兴趣。我们已经准备就绪，为应对这一严重威胁与有关当局合作。” 在一篇与美国相关媒体的采访中，赛门铁克公司说，他们的相关软件已经将黑客从受影响的计算机系统中驱逐，并已经与美国中央情报局、国土安全部以及亚洲的防务部门分享了有关技术情报。 赛门铁克公司过去表示，该公司安全工具在世界上覆盖了1.75亿个终端和9500万个传感器，从而形成最终分析大数据的信息来源。该公司称能跟踪全球157个国家和地区的多个攻击团体，同时了解庞大的漏洞数据库的情况。该数据库在20年里记录了9万个漏洞。 通过对相关数据的分析，该公司可以找到真正的黑客团伙。该公司这几年开始运用机器学习技术，在海量的数据中自行将存在共性的攻击行为实施分析，锁定黑客团伙身份。   稿源：新浪军事，封面源自网络；

中新网6月20日电，据韩联社报道，韩国最大虚拟货币交易平台Bithumb遭黑客入侵，约350亿韩元(约合人民币2.04亿元)资产被盗。 据Bithumb介绍，公司于当地时间19日下午11时发现异常情况，于20日凌晨1时30分许采取限制存储措施后清点资产发现了平台被黑情况，随后于当天上午9时40分许向韩国网络振兴院(KISA)举报。 Bithumb紧急通知，约350亿韩元的加密货币被盗，平台暂停交易和加密货币的存取服务。损失的部分将由公司赔偿，客户资产已转移到未接入互联网的外部存储设备。 Bithumb相关人士表示，将对服务器进行优化升级，加强数据库安全防护，确保今后不再发生类似情况。 另外，Bithumb被黑消息传出后，币价较前一交易日下滑4.25%，其他虚拟货币也应声齐跌。   稿源：中国新闻网，封面源自网络；

讯 6月13日早间消息，今日凌晨，AcFun发布公告称，受黑客攻击，近千万条用户数据外泄，其中包含用户ID、用户昵称、加密存储的密码等信息。 AcFun向用户表示，如果在2017年7月7日之后一直未登录过AcFun，密码加密强度不是最高级别，账号存在一定的安全风险，恳请尽快修改密码。如果在其他网站使用同一密码，也请及时修改。 2017年7月7日，AcFun升级改造了用户账号系统。AcFun称，如果在此之后有过登录行为，账户会自动升级使用强加密算法策略，密码是安全的。但是如果密码过于简单，也建议修改密码。 AcFun称事故的根本原因在于没有把网站做得足够安全，在事发后，已在第一时间联合内部和外部的技术专家成立了安全专项组，排查问题并升级了系统安全等级。 接下来，AcFun会对服务做全面系统加固，实现技术架构和安全体系的升级。同时，AcFun表示已经搜集了相关证据并报警。 此次事故公告之前，快手刚刚完成对Acfun的整体收购。 未来，A站将保持独立品牌、维持独立运营、保持原有团队、独立发展，而快手会在资金、资源、技术等给予A站大力支持。 同日，Acfun发布招聘贴。网友戏称：“有钱了”。（李楠） 以下为AcFun公告原文： 尊敬的AcFun用户： 我们非常抱歉，AcFun受黑客攻击，近千万条用户数据外泄。 如果您在2017年7月7日之后一直未登录过AcFun，密码加密强度不是最高级别，账号存在一定的安全风险，恳请尽快修改密码。如果您在其他网站使用同一密码，也请及时修改。 AcFun在2017年7月7日升级改造了用户账号系统，如果您在此之后有过登录行为，账户会自动升级使用强加密算法策略，密码是安全的。但是如果您的密码过于简单，也建议修改密码。 这次重大事故，根本原因还在于我们没有把AcFun做得足够安全。为此，我们要诚恳地向您道歉。 接下来，我们会采取一切必要的措施，保障用户的数据安全。我们的措施包括但不限于： 1、强烈建议账号安全存在隐患的用户尽快修改密码。我们会通过AcFun站内公告、微博、微信、短信、QQ群、贴吧等途径提醒这部分用户，也请大家相互转告。对于未及时主动修改密码的存在隐患的账户，将会在重新登录访问时，被要求修改密码。 2、事发之后，我们第一时间联合内部和外部的技术专家成立了安全专项组，排查问题并升级了系统安全等级。 3、接下来，我们会对AcFun服务做全面系统加固，实现技术架构和安全体系的升级。 4、我们已经搜集了相关证据并报警。 后续，我们会与用户、媒体和各界保持信息的及时沟通。 最后，我们再次向您诚恳地道歉。未来我们要用实际行动把A站的安全能力建设好，真正让用户放心。 AcFun弹幕视频网 2018年6月13日   稿源：，稿件以及封面源自网络；

近日，360 Netlab 调查发现，因为运行不安全的客户端 Geth，在过去几个月里，被盗的以太坊价值超过了2000万美元。 Geth 是一款常用的客户端，运行以太坊节点。用户可以用 Geth，通过 JSON-RPC 界面远程管理钱包。黑客可通过扫描与以太坊网络进行通信的 8545 端口，寻找暴露 JSON-RPC 的加密货币钱包，进而窃取货币。据了解，黑客一共窃取了 38,642 以太币，价值超过 2050 万美元。   稿源：Freebuf，封面源自网络；

上周日，韩国加密货币交易所Coinrail称系统遭遇“网络入侵”，致使比特币连续三天下跌。彭博社援引Bitstamp数据显示，截止到下午4点，纽约市场比特币价格已跌至6840美元，创出自3月14日以来的最大跌幅，将比特币今年的亏损幅度扩大到52%。 同属加密货币的以太坊和瑞波币的交易价格分别下跌10%和11%。   6月10日，比特币期货（XBT）与美元交叉汇率   Coinrail官网上的一份声明证实，该交易所一些数字货币似乎已被黑客窃取，但未提及具体金额。Coinrail只是说，正在与调查机构及其它交易所合作，以便追捕肇事者并挽回损失。 数字货币的核心安全问题是，货币本身通常只代表一个独特的数字代码，这意味着一旦数据被盗，其所有者信息就会被抹去。 Coinrail表示，为防止黑客攻击，该公司正在审查系统。该交易所说，已经成功冻结了所有面临被盗风险的NPX、NPER和ATX等数字币种，其它加密货币现在被保存在一个“冷钱包”（cold wallet）里。 根据Coinmarketcap.com的数据统计，Coinrail交易所涵盖超过50种不同的加密货币，交易规模在全球同类市场中排名第98位，24小时的交易量约为265万美元。   稿源：，稿件以及封面源自网络；

火绒安全团队截获一批蠕虫病毒。这些病毒通过U盘、移动硬盘等移动介质及网络驱动器传播，入侵电脑后，会远程下载各类病毒模块，以牟取利益。这些被下载的有盗号木马、挖矿病毒等，并且已经获得约645个门罗币（合60余万人民币）。   一、 概述 该病毒早在2014年就已出现，并在国内外不断流窜，国外传播量远超于国内。据”火绒威胁情报系统”监测显示，从2018年开始，该病毒在国内呈现出迅速爆发的威胁态势，并且近期还在不断传播。 火绒工程师发现，该病毒通过可移动存储设备(U盘、移动硬盘等)和网络驱动器等方式进行传播。被该蠕虫病毒感染后，病毒会将移动设备、网络驱动器内的原有文件隐藏起来，并创建了一个与磁盘名称、图标完全相同的快捷方式，诱导用户点击。用户一旦点击，病毒会立即运行。 病毒运行后，首先会通过C&C远程返回的控制命令，将其感染的电脑进行分组，再针对性的获取相应的病毒模块，执行盗号、挖矿等破坏行为。 病毒作者十分谨慎，将蠕虫病毒及其下载的全部病毒模块，都使用了混淆器，很难被安全软件查杀。同时，其下载的挖矿病毒只会在用户电脑空闲时进行挖矿，并且占用CPU资源很低，隐蔽性非常强。 不仅如此，该病毒还会删除被感染设备或网络驱动器根目录中的可疑文件，以保证只有自身会进入用户电脑。由此可见，该病毒以长期占据用户电脑来牟利为目的，日后不排除会远程派发其他恶性病毒（如勒索病毒）的可能。 “火绒安全软件”无需升级即可拦截并查杀该病毒。 二、 样本分析 近期，火绒截获到一批蠕虫病毒样本，该病毒主要通过网络驱动器和可移动存储设备进行传播。该病毒在2014年前后首次出现，起初病毒在海外传播量较大，在国内的感染量十分有限，在进入2018年之后国内感染量迅速上升，逐渐呈现出迅速爆发的威胁态势。该病毒代码执行后，会根据远程C&C服务器返回的控制命令执行指定恶意逻辑，甚至可以直接派发其他病毒代码到本地计算机中进行执行。现阶段，我们发现的被派发的病毒程序包括：挖矿病毒、盗号木马等。病毒恶意代码运行与传播流程图，如下图所示： 病毒恶意代码运行与传播流程图 该病毒所使用的C&C服务器地址众多，且至今仍然在随着样本不断进行更新，我们仅以部分C&C服务器地址为例。如下图所示： C&C服务器地址 该病毒会将自身拷贝到可移动存储设备和网络驱动器中，病毒程序及脚本分别名为DeviceConfigManager.exe和DeviceConfigManager.vbs。被该病毒感染后的目录，如下图所示： 被该病毒感染后的目录（上为可移动存储设备，下为网络驱动器） 火绒截获的蠕虫病毒样本既其下载的其他病毒程序全部均使用了相同的混淆器，此处对其所使用的混淆器进行统一分析，下文中不再赘述。其所使用的混淆器会使用大量无意义字符串或数据调用不同的系统函数，使用此方法达到其混淆目的。混淆器相关代码，如下图所示： 混淆代码 混淆器中使用了大量与上图中类似的垃圾代码，而用于还原加载原始PE镜像数据的关键逻辑代码也被穿插在这些垃圾代码中。还原加载原始PE数据的相关代码，如下图所示： 还原加载原始PE镜像数据的相关代码 上述代码运行完成后，会调用加载原始PE镜像数据的相关的代码逻辑。加载原始PE镜像数据的代码，首先会获取LoadLibrary、GetProcAddress函数地址及当前进程模块基址，之后借此获取其他关键函数地址。解密后的相关代码，如下图所示： 解密后的加载代码 原始PE镜像数据被使用LZO算法（Lempel-Ziv-Oberhumer）进行压缩，经过解压，再对原始PE镜像进行虚拟映射、修复导入表及重定位数据后，即会执行原始恶意代码逻辑。相关代码，如下图所示： 调用解压缩及虚拟映射相关代码 蠕虫病毒 该病毒整体逻辑分为两个部分，分别为传播和后门逻辑。该病毒的传播只针对可移动存储设备和网络驱动器，被感染后的可移动存储设备或网络驱动器根目录中会被释放一组病毒文件，并通过诱导用户点击或利用系统自动播放功能进行启动。蠕虫病毒通过遍历磁盘进行传播的相关逻辑代码，如下图所示： 遍历磁盘传播 被释放的病毒文件及文件描述，如下图所示： 被释放的病毒文件及文件描述 蠕虫病毒会通过在病毒vbs脚本中随机插入垃圾代码方式对抗安全软件查杀，被释放的vbs脚本首先会关闭当前资源管理器窗口，之后打开磁盘根目录下的”_”文件夹，最后执行病毒程序DeviceConfigManager.exe。释放病毒vbs脚本相关逻辑，如下图所示： 释放病毒vbs脚本相关逻辑 除了释放病毒文件外，病毒还会根据扩展名删除磁盘根目录中的可疑文件（删除时会将自身释放的病毒文件排除）。被删除的文件后缀名，如下图所示： 被删除的文件后缀名 病毒在释放文件的同时，还会将根目录下的所有文件全部移动至病毒创建的”_”目录中。除了病毒释放的快捷方式外，其他病毒文件属性均被设置为隐藏，在用户打开被感染的磁盘后，只能看到与磁盘名称、图标完全相同的快捷方式，从而诱骗用户点击。快捷方式指向的文件为DeviceConfigManager.vbs，vbs脚本功能如前文所述。通过这些手段可以使病毒代码执行的同时，尽可能不让用户有所察觉。 被释放的病毒文件列表 蠕虫病毒释放的快捷方式，如下图所示： 蠕虫病毒释放的快捷方式 该病毒的后门逻辑会通过与C&C服务器进行IRC通讯的方式进行，恶意代码会根据当前系统环境将当前受控终端加入到不同的分组中，再通过分组通讯对属于不同分组的终端分别进行控制。病毒用来进行分组的信息包括：语言区域信息、当前系统平台版本为x86或x64、当前用户权限等。后门代码中最主要的恶意功能为下载执行远程恶意代码，再借助病毒创建的自启动项，使该病毒可以常驻于用户计算机，且可以向受控终端推送的任意恶意代码进行执行。病毒首先会使用用户的语言区域信息和随机数生成用户ID，之后向C&C服务器发送NICK和USER通讯命令，随机的用户ID会被注册为NICK通讯命令中的名字，该操作用于受控终端上线。相关代码，如下图所示： 受控终端上线相关代码 通过上图我们可以看到，病毒所使用的C&C服务器列表中和IP地址众多，其中很大一部分都为无效域名和地址，主要用于迷惑安全研究人员。在受控端上线后，就会从C&C服务器获取控制指令进行执行。病毒可以根据不同的系统环境将当前受控终端进行分组，分组依据包括：语言区域信息、当前用户权限、系统平台版本信息（x86/x64）。除此之外，病毒还可以利用控制命令通过访问IP查询（http://api.wipmania.com）严格限制下发恶意代码的传播范围。主要控制命令及命令功能描述，如下图所示： 主要控制命令及命令功能描述 主要后门控制相关代码，如下图所示： 后门控制代码 病毒会将远程请求到的恶意代码释放至%temp%目录下进行执行，文件名随机。相关代码，如下图所示： 下载执行远程恶意代码 挖矿病毒 病毒下发的恶意代码众多，我们此次仅以挖矿病毒为例。本次火绒截获的挖矿病毒执行后，会在电脑运算资源闲置时挖取门罗币，对于普通用户来说其挖矿行为很难被察觉。 在本次火绒所截获到的样本中，我们发现，病毒下发的所有恶意代码都使用了与蠕虫病毒相同的混淆器。以混淆器还原加载原始PE数据代码为例进行对比，如下图所示： 混淆器代码对比图（左为被下发到终端的挖矿病毒、右为蠕虫病毒） 挖矿病毒原始恶意代码运行后，会将病毒自身复制到C:\Users\用户名\AppData\Roaming\svchostx64.exe位置，并创建计划任务每分钟执行一次。病毒会创建互斥量，通过检测互斥量，可以保证系统中的病毒进程实例唯一。之后，病毒会使用挖矿参数启动自身程序，再将挖矿程序（XMRig）PE镜像数据注入到新启动的进程中执行挖矿逻辑。在火绒行为沙盒中挖矿病毒行为，如下图所示： 挖矿病毒行为 如上图所示，挖矿参数中限制挖矿程序CPU占用率为3%，并且会通过检测系统闲置信息的方式不断检测CPU占用率是否过高，如果过高则会重新启动挖矿进程。通过遍历进程检测任务管理器进程（Taskmgr.exe）是否存在，如果存在则会停止挖矿，待任务管理进程退出后继续执行挖矿逻辑。病毒通过上述方法提高了病毒自身的隐蔽性，保证病毒可以尽可能的长时间驻留于被感染的计算机中。相关代码，如下图所示： 挖矿逻辑控制代码 虽然病毒严格控制了挖矿效率，但是由于该病毒感染量较大，总共挖取门罗币约645个，以门罗币当前价格计算，合人民币60余万元。病毒使用的门罗币钱包账户交易信息，如下图所示： 病毒使用的门罗币钱包账户交易信息 三、 附录 文中涉及样本SHA256：   稿源：cnBeta，封面源自网络；