國家計算機病毒應急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測,發(fā)現(xiàn)一款偽裝成Windows系統(tǒng)幫助文件的遠控木馬�,攻擊者通過遠控木馬下發(fā)挖礦程序到被害主機,占用主機資源進行挖礦�。
服務DLL文件Remote.hlp是一個偽裝成Windows幫助文件的后門程序,僅從字符串分析���,就能夠得到許多功能信息�����,而此次事件捕獲的域名所關聯(lián)的后門程序中�����,均存在一條“TheCodeMadeByZPCCZQ”標識字符串�����。由此可以推斷����,這些后門程序均來源于同一款遠控生成器,并且通過對后門dll的字符串分析��,其中有很多中文描述的控制操作��,所以可以確認是一款漢化的遠控程序�。除了持久化駐留的后門程序,在被害主機中存在通過后門投放的挖礦程序���,偽裝成銀行圖標�,占用主機資源進行挖礦����。該樣本中服務名稱為.Net CLR,研究員排查過程中發(fā)現(xiàn)有過“Ias”、“FastUserSwitchingCompatibilty”����,這些服務指向的DLL程序都是母體釋放的Remote.hlp。
建議用戶不要安裝未知來源的軟件�,在正規(guī)網(wǎng)站下載軟件。同時提高安全意識�����,及時為操作系統(tǒng)����、常用軟件等打好補丁�����,以免受到該惡意程序的危害�����。