还在用工具激活系统？小心被当做矿机 _激活系统

一、windows Loader捕获到一个伪装成激活软件WindowsLoader的病毒样本。经分析，该样本并没有激活功能，其主要功能是安装广告软件以及挖矿程序。
挖矿程序会拉起系统进程并在其中注入挖矿代码，并循环监控taskmgr.exe进程，如果检测到 taskmgr.exe进程则终止挖矿，使得受害者比较难以察觉。

文章插图

1 病毒母体病毒母体图标伪装成Windows Loader：

文章插图

其实是用CreateInstall制作的安装包：

文章插图

安装界面：

文章插图

释放如下几个文件到C:Program Files (x86)KMSPico 10.2.1 Final目录并运行脚本 WINLOADER_SETUP.BAT 。

文章插图

WINLOADER_SETUP.BAT依次运行WindowsLoader.exe、
Registry_Activation_2751393056.exe和 activation.exe 。

文章插图

WindowsLoader.exe与
Registry_Activation_2751393056.exe都是广告软件， activation.exe则是挖矿程序。
2 WindowsLoader.exe
首先是WindowsLoader.exe安装界面：

文章插图
【还在用工具激活系统？小心被当做矿机】
会下载并安装RunBooster：

文章插图

安装RunBooster服务：

文章插图

RunBoosterUpdateTask升级任务计划：

文章插图

RunBooster的抓包行为：

文章插图

3 Registry_Activation_2751393056.exe
Registry_Activation_2751393056.exe安装界面：

文章插图

功能存在问题，下载的exe文件没有带后缀名：

文章插图

4 activation.exe 首先在Local目录下新建cypjMERAky文件夹并将自己拷贝到下面。

文章插图

添加注册表自启动项。
检测是否存在taskmgr.exe进程。

文章插图

如果taskmgr.exe进程不存在则拉起系统进程wuApp.exe ，参数为" -a cryptonight -o stratum+
tcp://xmr.pool.minergate.com:45560 -uminepool@gmx.com -p x -t 2" 。

文章插图

将挖矿程序注入到wuapp.exe进程。

文章插图

挖矿程序为开源的cpuminer-multi 1.2-dev 。

文章插图

进入循环，守护注册表自启动项，并检测taskmgr.exe进程，如果检测到则终止wuapp.exe 。

文章插图

二、小马激活"小马激活"病毒的第一变种只是单纯地在浏览器快捷方式后面添加网址参数和修改浏览器首页的注册表项，以达到首页劫持的目的。由于安全软件的查杀和首页保护功能，该版本并没有长时间流行太长时间。其第二变种，在原有基础上增强了与安全软件的对抗能力。
由于其作为"系统激活工具"具有入场时间较早的优势，使用驱动与安全软件进行主动对抗，使安全软件无法正常运行。在其第三个变种中，其加入了文件保护和注册表保护，不但增加了病毒受害者自救的难度，还使得反病毒工程师在处理用户现场时无法在短时间之内发现病毒文件和病毒相关的注册表项。其第四个变种中，利用WMI中的永久事件消费者（ActiveScriptEventConsumer）注册恶意脚本，利用定时器触发事件每隔一段时间就会执行一段VBS脚本，该脚本执行之后会在浏览器快捷方式后面添加网址参数。该变种在感染计算机后，不会在计算机中产生任何文件，使得病毒分析人员很难发现病毒行为的来源，大大增加了病毒的查杀难度。通过如下表格我们可以更直观的了解其发展过程：