【科讯】WannaMiner挖矿木马出现最新变种，腾讯电脑管家提醒客户加强防范

本篇文章1101字，读完约3分钟

特洛伊木马不仅吃黑，还过河拆桥。

腾讯智慧安全御见威胁情报中心最近发现了wannaminer挖掘矿山木马的新变种。 这是在挖门罗货币( xmr )的同时下载远程控制的特洛伊木马。 和以前的版本一样，挖掘矿山特洛伊木马可以杀死其他矿山特洛伊木马，用黑蚀黑的方法确保系统资源。

值得一提的是，wannaminer挖掘特洛伊木马的最新变种后过河过桥，在自己入侵后关闭高危端口，实现独占享受开采资源而不入侵其他特洛伊木马的目的。 腾讯的管家实时监听这座矿山木马的入侵，警告广大顾客加强预防，及时修复漏洞。

wannaminer挖掘矿山木马的最新变种入侵电脑后，冒充微软系统文件，关闭windows防火墙，添加任务，释放nsa攻击工具包，内部网 释放远程控制木马，获得系统最高权限，方便非法黑客窃取隐私和执行所有远程管理任务。 该特洛伊木马通过释放开采模块，不仅结束了其他开采特洛伊木马的进程，而且在切实安装了自己后，关闭了系统的135、137、138、139、445端口，后续开采特洛伊木马入侵的门

(图: wannaminer开采特洛伊木马的最新变种释放开采模块)

根据腾讯安全技术人员的分析，该变种不仅与以前的msraminer家族在脆弱性利用和恶意基础设施上高度一致，而且与其他安全制造商今年6月暴露的另一个家族hsminer相同。 为了这个帐篷的智能安全评价，wannaminer、msraminer、hsminer实际上是同一个家族的不同命名，背后有同一个黑产集团。

( wannaminer和hsminer的代码高度相似)

通过同源性分析和传统威胁信息的对照，wannaminer挖矿木马的最新变种下载了与hsminer挖矿木马相同的远程控制模块，采用了hsminer挖矿木马相关的c2服务器。 同样，通过追溯分析，wannaminer挖掘矿木马的最新变种和msraminer挖掘矿木马在c2服务器端也被复用。 因此，腾讯智能安全御见威胁信息中心评价不同安全团队报告的wannaminer、msraminer、hsminer挖掘矿山木马，背后的控制者实际上是同一个群体。

(图:腾讯安全公司级产品控制点)

到目前为止，msraminer挖掘矿山木马在大规模僵尸互联网mining botnet上运行，自带nsa武器库和web SER进行传达，有30000台主机感染。 这次wannaminer挖掘了矿山木马的最新变种，和它是同一个家族。 为了避免造成不必要的损失，腾讯电脑管家安全专家、腾讯安全杀毒实验室负责人马强松在公司客户处安装了御点终端安全管理系统，统一管理终端病毒和修复漏洞、战略管理等