一、异常流量

近日，兰眼下一代威胁感知系统捕捉到一组主机存在异常流量行为：

兰云科技安全分析人员对其中的部分主机进一步分析发现，该客户机CPU使用率一直居高不下：

追踪CPU使用率最高的进程，为C:\ProgramData\Smart\csrss.exe进程，但是当分析人员想要进入C:\ProgramData\Smart\文件夹进一步分析csrss.exe时，却发现无法访问该文件夹，即使是管理员用户访问该文件夹也被拒绝：

通过文件日志分析，安全分析人员从客户机中提取到三个可疑文件sa.bat、32.exe、64.exe，并对这三个文件进行了详细分析。

二、病毒分析

1.总体情况

该病毒为门罗币挖矿病毒。

最先运行的文件是sa.bat文件，它将判断系统运行环境，决定运行32.exe还是运行64.exe。32.exe(或64.exe)运行后将投放解包程序irsetup.exe，irsetup.exe将释放包括挖矿程序（csrss.exe)在内的大量文件，并运行这些文件，实现内存常驻、恶意挖矿等功能。

如下图所示，展示了病毒一次运行实例的过程：

    接下来我们对各个病毒文件进行详细分析。

2.sa.bat

sa.bat文件代码如下：

它将判断运行环境并选择将要运行的文件。代码中的文件路径均是绝对路径标注，由此我们可以猜测，在sa.bat运行之前，攻击者便已经成功入侵受害者主机。

3.32.exe\64.exe

32.exe和64.exe为安装包程序，使用Setup Factory打包的。

分析32.exe和64.exe的进程行为，发现两者行为基本相同，只在操作路径上有部分差别。

32.exe(或64.exe)在运行后将投放irsetup.exe程序，并将自己作为irsetup.exe的一个参数，启动irsetup.exe。

4.irsetup.exe

irsetup.exe文件是由 Indigo Rose Software Design Corp.出品的Setup Factory一个组件。

本次分析中其启动的参数是：

__IRAOFF:520716″__IRAFN:C:\Users\Administrator\Desktop\样本\32.exe”

（1）irsetup运行后，将从32.exe(或64.exe)中提取资源并依次释放如下文件：

irsetup会将hosts、csrss.exe文件属性修改为受系统保护的隐藏文件。

（2）接着irsetup.exe将之前释放在C:\ProgramData\Smart\目录下的4个文件加入WinZip的开始菜单栏：

①创建文件夹C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip

（3）最后启动run32.exe

result =File.Run(SessionVar.Expand("C:\\ProgramData\\

Smart\\run32.exe"),"", "", SW_SHOWNORMAL, fal

此启动方式是Setup Factory提供的文件运行功能。

5. csrss.exe

csrss.exe是门罗币挖矿程序。

在https://github.com/xmrig/xmrig/releases中可以找到该程序：

6.hosts

病毒投放的Hosts文件中含有大量矿池地址：

7.svchost.exe

svchost.exe实际上是服务管理软件nssm.exe：

8. cmd.bat

cmd.bat文件代码如下：

在cmd.bat中，可以看到，程序使用cacls工具，将C:\ProgramData\Smart文件夹设置为system权限可访问，而administrators权限拒绝访问。cacls.exe是微软提供的操作文件ACL的工具。

9. run32.exe\run64.exe

run32.exe\run64.exe的主要功能是投放并运行bat文件，在本次分析中投放路径是：

C:\Users\test\AppData\Local\Temp\B83B.tmp\B83C.tmp\B83D.bat

事实上B83B、B83C、B83D的名称是随机生成的。

10.B83D.bat

该脚本首先将hosts文件设置为administrators拒绝访问，随后终止1sass.exe、Sqlceqp.exe等进程，卸载"Natihial"、"Windows_Update"等服务，这些进程或服务的名称均具有迷惑性，很明显是病毒伪装的进程或服务，我们猜测这是攻击者投放的其他恶意程序。

随后安装并启动名为"Smart Card Report" 的服务，执行的进程实际上是挖矿程序，矿池地址为a2.crsky.org:443，用户名1，密码x：

    安装并启动名为"Network Reports"的服务，该服务会运行 C:\ProgramData\Smart\cmd.bat文件，而cmd.bat则不停的启动"Smart Card Report"服务。

三、事件追踪

该病毒最早发现于4月3日，攻击者的HTF服务器为http://dh.crsky.org:5566/，目前攻击者已经替换该页面：

四、威胁处置

4.1 威胁发现

建议部署兰眼下一代威胁感知系统及时对威胁进行发现。

4.2威胁清除

①终止如下病毒进程

包括如下进程：

·终止所有描述信息为XMRig CPU miner的进程，终止其进程树；

·终止所有rundll32.exe进程，终止其进程树；

·终止所有路径为C:\ProgramData\new\、C:\ProgramData\data\、

C:\ProgramData\Smart\ 的进程，终止其进程树；

②卸载病毒创建的服务

·查找病毒服务：

包括Smart Card Report服务；

所有描述为Microsoft .NET Framework TPM的服务；

·终止上述服务，cmd下输入“sc stop 服务名”。如果无法停止，则在任务管理器-服务列中找到相应服务，转到相应进程，终止其进程树；

·卸载服务，cmd下输入“sc delet 服务名”；

·查询服务状态，cmd下输入“sc query 服务名”，确认是否成功卸载服务，如果服务卸载失败，重复上述操作；

③删除病毒开机启动项

删除下列注册表自启动项中创建一个名叫ATI的键：

④删除病毒文件和病毒文件夹

·删除如下文件或文件夹:

C:\ProgramData\a2-64ss.exe

C:\ProgramData\a2-32ss.exe

C:\ProgramData\64ss.exe

C:\ProgramData\32.exe

C:\ProgramData\*.bat

C:\ProgramData\new\

C:\ProgramData\data\

C:\ProgramData\Smart\ 

C:\ProgramFiles\Common Files\Microsoft Shared\dqqwtw.dl

·如果无法删除相应文件夹，则先执行如下命令：

cacls C:\ProgramData\Smart/e /t /g administrators:f /d system

cacls C:\ProgramData\data /e/t /g administrators:f /d system

cacls C:\ProgramData\new /e/t /g administrators:f /d system

⑤修复永恒之蓝漏洞

补丁地址：

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

IOC