安全研究员已经发现首个会根据“击杀清单”来关闭其他挖矿软件进程以达到独占受感染计算机运算力目的的挖矿软件。
发现者 ICS Sans 的研究员Xavier Mertens 表示,这个软件没有特别突出之处,仅仅只是今年新出现的许多专注于挖矿的恶意软件中的一员。今年在加密货币领域,他们都从勒索行动转变成分布式挖矿。
但与它绝大多数竞争对手不同的是,这款挖矿软件的作者已经意识到市场的竞争已经变得非常激烈了。现在已经越来越难找到没被感染的新机器,于是不得不与其他挖矿软件争夺 CPU 和 GPU 的运算力。
归功于日益增长的竞争软件,该软件的作者仔细研究了他的竞争对手并且收集了一张竞争对手的软件在系统中可能使用的进程名:
Silence
Carbon
xmrig32
nscpucnminer64
mrservicehost
servisce
svchosts3
svhosts
system64
systemiissec
taskhost
vrmserver
vshell
winlogan
winlogo
logon
win1nit
wininits
winlnlts
taskngr
tasksvr
mscl
cpuminer
sql31
taskhots
svchostx
xmr86
xmrig
xmr
win1ogin
win1ogins
ccsvchst
nscpucnminer64
update_windows
Mertens 表示安全研究员也能从其中获得好处,他们也可以使用上述的名单来检测机器是否被挖矿软件感染。
但这并不是挖矿软件首次使用该功能。比如,the Shifu banking trojan 在 2015年就已经在使用类似的功能了(干掉其他银行木马的进程)。
此外,它的效果存疑, 现今很多先进的恶意软件在感染了路由器或物联网设备之后,都会采取保护措施后,如关闭 Telnet 或 SSH 端口, 以防止设备被另一个恶意软件接管。BrickerBot、Wifatch 和 Mirai 恶意软件都以这种行为著称。
翻译者:安识科技章鱼
本文链接:https://www.secpulse.com/archives/69369.html
本文作者:安识科技
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/69369.html