【科讯】NSABuffMiner挖矿木马校园为恶，腾讯电脑管家全面查杀

本篇文章1048字，读完约3分钟

金秋九月，又是一年的开学季节，全国各地中小学密集迎来开学潮，同学们纷纷回到校园，不法分子也蠢蠢欲动，注视开学经济，利用非法手段赚取巨额利润。 最近腾讯智慧安全御见威胁信息中心收到客户反馈，学校内网水卡管理服务器频繁出现崩溃情况，经过学校互联网管理者系统的故障诊断，未发现异常问题，初步内网不 这是向腾讯智慧安全御见威胁情报中心求助。

根据腾讯安全技术专家的检查，这所学校的内部网水卡管理服务器入侵rundllhost.exe特洛伊木马，是nsasrvanyminer开采特洛伊木马的变种，利用nsa武器工具进行内联网 由于该服务器存在未修改的ms17-010漏洞，因此被攻击开采。 据调查钱包的消息，到现在为止，nsabuffminer挖矿山木马获得1217枚门罗货币，非法利润达到115万人民币。

(图: nsabuffminer挖矿特洛伊木马牟利)

现在腾讯智能安全御见威胁情报中心全面拦截、调查和杀害这座矿山的木马，警告广大公司客户及时修复高危漏洞。 非法黑客利用这些系统的漏洞，不仅可能挖掘矿山木马，还可能对客户的计算机威胁病毒，成为窃取数据的工具，从而导致更严重的后果。

腾讯安全技术专家表示，nsasrvanyminer在挖掘矿山木马攻击新变种时关闭防火墙，启动cpuinfo.exe扫描内部网设备的445个端口，端口打开 另外，在挖掘该矿山木马启动矿山机械时采用nssm服务管理工具，安装矿山机械作为系统服务，该工具具有自动保护目标服务流程的功能，维持矿山流程的运行，进行部分杀害

值得一提的是，这匹矿山木马是为了保证矿山资源的垄断，用黑蚀黑、过河挖桥等方法阻断其他矿山特洛伊木马的入侵，杀死30余人同样挖掘矿山特洛伊木马的过程，自己入侵成功后，积极

另外，nsabuffminer在挖掘矿山木马的新变种上配备了强大的nsa脆弱性攻击包，便于在内部网攻击中传递。 此外，挖掘此特洛伊木马还会检测到多个任务管理器的进程。 如果客户发现系统异常，启用任务管理器确认系统资源的消耗情况后，特洛伊木马立即关闭任务管理器，失败后特洛伊木马立即结束，扰乱一般客户。

(图:腾讯安全公司级产品控制点)

不要再次发生这种非法黑客攻击，腾讯电脑管家安全专家、腾讯安全杀毒实验室负责人马强松建议公司网络管理:及时给服务器安装安全补丁，尽量不要 另外，安装控制点终端安全管理系统等安全软件，通过终端的病毒对策和修复的脆弱性统一管理及策略管理等各方面的安全管理功能，公司管理者全面了解公司网络的安全状况