法國和美國執法部門日前成功從挖礦蠕蟲病毒 Retadup 手上拯救 85 萬部受感染的裝置,並且令惡意程式自我毀滅,阻止病毒繼續擴散及傷害拉丁美洲的用戶。
散播 XMRig 挖礦工具
Retadup 在 Windows 操作系統上散播 XMRig 加密貨幣「挖礦」工具,受影響裝置主要在拉丁美洲區域,惡意程式首先會解密 XMRig PE 檔案然後放入新增的程序內,並且把捐贈數字設為 0,所有挖礦得到的收益不會向 XMRig 的開發人員分享。
為了隱藏自己不被發現,當 taskmgr.exe 執行時惡意程式會停止挖礦,令用戶更難發現因為挖礦導致 CPU 使用量急升,加入程序同時也是一個看門人,如果工作程序因為任何原因終止,看門人程序會再產生新的工作程序去取代,而惡意程式的編碼也讓惡意程式可以逃避保安方案。
隨時加入遠端後門程式
Retadup 除了是挖礦工具惡意程式以外,蠕蟲的 C&C 伺服器也具備推送其他惡意程式到受感染裝置的能力,所以感染規模達數十萬計。Retadup 的 C&C 伺服器可以散播名為 HoudRat 的遠端存取木馬程式,HoudRat 可以執行任意指令、記錄鍵盤輸入、螢幕截圖、盜取密碼和下載任意文件等等,Retadup 幕後的罪犯有能力在全球數以十萬部電腦上執行額外的惡意程式。
令病毒自我毀滅
在分析 Retadup 的過程中,研究人員發現含有漏洞把惡意程式從受害者的電腦內移除,方法是接管位於法國的 C&C 伺服器。法國執法部門與研究人員以「消毒」伺服器取代惡意程式的 C&C 伺服器,令連接的惡意程式自我毀滅。
部份 C&C 伺服器位於美國,FBI 亦已經令它們停止運作,由於無法取得新的挖礦指令,受感染的裝置將不會繼續利用受害者的資源替犯罪份子挖礦謀利。
資料來源: ThreatPost