你还想挖矿吗？毒霸“比特币矿工”病毒分析报告

背景：

比特币最近几个月比较火，国际上关于比特币的炒作也越来越多。 2013 年 4 月雅安地震期间，One 基金会收到了 233 个比特币（折合人民币近 22 万元）的善款。 现在黑客们也将目光投向了比特币。

6月5日，金山安全中心率先截获的“比特币矿工”病毒，通过BitTorrent以《中国合伙人》、《星际迷航：暗黑无界》等热门电影的形式传播，诱骗用户下载。 用户不小心运行后，病毒会释放csrss.exe、svchost.exe、lsass.exe等病毒文件到windows目录，劫持淘宝客户，刷网站流量，挖矿bitcoins.news链接

比特币矿工木马流程图

病毒亲本：

病毒母体通过BT种子传播，伪装成电影文件，程序图标也伪装成播放器图标。 病毒母体通过在overlay末尾填充0进行扩展，使病毒母体体积达到800M，使用户误以为该节目是一部普通电影。

母性行为比较简单，大致可以分为3种行为：

1.将病毒文件释放到Windows目录下。

运行后会释放csrss.exe、svchost.exe、lsass.exe等病毒文件（这些文件是与系统同名的病毒文件）到Windows目录下。

2.设置启动项

将csrss文件添加到启动项。 这一步和上一步都使用智能安装方式。 在配置文件中写入释放文件和需要修改的注册表，作为安装程序修改注册表，释放文件。

3.弹窗提示用户无法播放视频

这个程序会弹出一个窗口提示用户这个文件不能播放，从而隐藏自己。

病毒后代：

母体释放的主要病毒子体有csrss.exe、svchost.exe、lsass.exe。 病毒文件csrss.exe（伪装后的名字）是主要的动员程序，负责调用svchost.exe（病毒，刷淘宝）和lsass.exe（病毒，用来刷比特币，挖矿工具）。 （下文将用csrss.exe、svchost.exe、lsass.exe来表示这三个病毒文件，请勿与系统文件混淆，特此声明）。 其余文件是挖矿程序的附加组件。

【CSS.exe】

设置为自启动项。 启动后，解密自身资源中的脚本，运行脚本。 调用svchost和lsass.exe扫描淘宝和比特币，后台访问51yingshi扫描流量。

自启动项目：

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]

"Shell"="explorer.exe,C:\\Windows\\csrss.exe"

生成的脚本内容：

简单解释一下这段代码的含义：

这段代码有三个功能，调用lsass.exe扫描比特币，调用svchost扫描淘宝客户，访问并创建一个wscript.shell对象WS赚取比特币的软件，ws对象运行两条命令。

(1) WS.Run "C:\Windows\svchost.exe 15653040_3457137_11236246",0,False

这里调用svchost扫描淘宝客户。 红色参数15653040_3457137_11236246是PID。

(2) WS.Run "C:\Windows\lsass.exe "&Lsass(Num)&"",0,False

执行lsass程序刷比特币。 后续登录账号有两个选项，每次都会随机抽取。

Lsass(1)="--url :9332--user 1ByRGxLJHempFNi7JyTspXG3oFyrp7GHFH --pass P@ssw0rd --auto-fan --auto-gpu"

Lsass(2)="--scrypt --url:9327 --user LQYU5RGhvCVUBePSfAfAcsLkt5XSi1EgBQ --pass P@ssw0rd --auto-fan --auto-gpu"

同样，病毒会创建一个 IE 对象，该对象在后台静默访问。 浏览器设置被隐藏。

代码如下：

IE.Visible=Flase

IE。 导航

【Lsass.exe】

这个文件严格来说不是病毒。 这个文件原名cgminer，是一款公开的挖矿软件。 本软件附带12个文件（含一个文件夹）。 其中lsass用于GPU挖矿，lsass-nogpu用于CPU挖矿。 这里病毒作者只调用lsass，使用GPU挖矿，没有使用CPU挖矿。 原因可能是CPU完成挖矿的效率很低。 文末附上cpu和gpu的挖矿效率对比。

挖矿文件列表如下：

用法是：

cgminer -o 矿池地址 -u 用户名 -p 密码

可以推断的信息包括病毒作者挖矿的矿池、钱包和密码。

1、矿池：9332

钱包地址：1ByRGxLJHempFNi7JyTspXG3oFyrp7GHFH

密码：P@ssw0rd --auto-fan --auto-gpu

2、矿池：9327

钱包地址：LQYU5RGhvCVUBePSfAfAcsLkt5XSi1EgBQ

密码：P@ssw0rd --auto-fan --auto-gpu

本程序运行截图：

Svchost.exe

用于劫持淘宝客户，盗用知魔淘宝客户插件。 淘宝客的劫持方法比较常见，这里就不过多介绍了。

防御计划：

1、实时启动信毒霸等主流杀毒软件。 用种子下载电影后，查看后缀是否为exe。 如果是exe，那就是病毒。

2、下载完一部电影后，观察该文件的图标是否与其他视频的图标相同。 这里的示例图标是realplayer的图标。 如果安装了其他播放器（如暴风），这个图标是不正常的，可能是病毒。

3、使用电脑时，突然变得很卡。 如果发现异常程序占用大量资源，重启后仍然无效，可能是感染了“比特币矿工”病毒。

解决方案：

如果发现电脑感染了“比特币矿工”病毒，可以用信都霸一键云扫查清除。

附录：

1、僵尸网络挖矿行业分析。

使用比特币计算器获取当前比特币区块的计算难度系数、算力、兑换规律。

如果单台电脑的计算速度是1.0mega-hashes/second，单台电脑一个月可以赚0.12美金。 如果您控制一个拥有 100,000 个单位的僵尸网络，您每月可以赚取 12,000 美元。

实际上赚取比特币的软件，用 CPU 挖矿的效率远低于用显卡挖矿的效率。 如下图，详情请参考

单张AMD Radeon 6750显卡每月可赚取3个比特币。 如果你能控制1000台这样的电脑，你每个月可以赚取3000个比特币，也就是369000美元。 这对病毒作者来说是一个不小的诱惑。 随着比特币的不断升值，此类木马未来可能有扩大的趋势。