腾讯御见威胁情报中心近日捕获一组具有蠕虫特性的挖矿木马“SecretMiner”,木马隐藏在一批伪装成色情电子书(.chm格式)的文件中,中毒电脑会联网下载Chrome插件病毒,劫持比特币交易收款地址,窃取受害电脑Facebook帐号密码,并自动将新的病毒下载链接分享到Facebook网页。腾讯电脑管家已全面拦截此类病毒。
腾讯电脑管家拦截到隐藏在chm文档中的木马病毒
腾讯安全专家指出,多年来,色情内容与病毒木马黑色产业都存在相互寄生的关系。大量病毒木马会以色情内容为诱饵,欺骗网民下载运行。腾讯御见威胁情报中心截获的SecretMiner挖矿木马会伪装成一批与色情内容相关的电子书,通过社交媒体工具欺骗网民下载阅读。文件名大量使用了带有性诱惑、暧昧的字眼,令许多网民上当受骗。
伪装成chm电子书文档的病毒样本
一旦网民经不住诱惑双击打开上述chm文件,病毒便会运行。隐藏在chm文档中的恶意代码利用了较为复杂的技术方法,多个中间组件直接下载后在内存中执行,而勿须在本地创建文件,以躲避安全软件的查杀。
“SecretMiner”挖矿木马最终造成的破坏主要有:释放多个挖矿木马挖门罗币;通过云端控制下载安装Chrome浏览器恶意插件,病毒插件安装成功后,如果用户通过浏览器交易比特币等虚拟加密币,病毒就会尝试替换收款地址,将用户的比特币(或其他加密币)转入自己的帐户,其行为如同打劫。
病毒还会尝试盗取用户facebook帐号信息,并自动在facebook网站分享若干“小黄书”chm文件下载链接实现蠕虫式的传播。不过,这一行为多因网络原因会分享失败,一定程度上减弱了该病毒的传播速度。
“SecretMiner”挖矿木马复杂的工作流程
安全专家建议网民勿轻易接收那些看起来很暧昧、有性诱惑特征的文档,如果碰巧收到文件的人是比特币(或其他数字虚拟币)玩家,就可能因为双击一个无关紧要的电子书文档失去全部虚拟数字资产。安全专家建议用户保持杀毒软件处于开启状态,以降低病毒木马入侵的风险。