有技術報告指出一個惡意軟體木馬正在使用NSA駭客工具來感染Windows計算機,這個病毒帶有一個門羅幣挖礦程式。該病毒識別受害者電腦上的可用資源,可用於啟動門羅幣XMR(Monero)的挖掘。
Bleeping Computer報告說,惡意軟體正在利用NSA攻擊,向Windows計算機種植木馬。該木馬自動識別可用的電腦資源,並將資源用於開採門羅幣Monero(XMR),這是一種以隱私為導向的競爭幣。
該木馬首先被俄羅斯防病毒軟體Dr.Web發現,他在Trojan.BTCMine.1259的通用名下發現了該病毒。該木馬被確定為利用一種名為Doublepulsar(雙星脈衝)的NSA駭客工具,用於感染執行不安全的伺服器訊息塊(SMB)協議的計算機——這是一種主要用於提供檔案、印表機和串列埠共享訪問的網路協議。
一旦被感染,惡意軟體就會建立一個簡單的後門,允許駭客在機器上執行程式碼。然後,駭客們使用NSA的雙星脈衝後門漏洞將惡意軟體載入程式下載到受感染的機器上。然後,病毒將掃描計算機,以確定它是否有足夠的資源來執行其有效載荷。如果所述資源可用,通用惡意軟體載入程式將下載一個加密貨幣挖掘程式,開始挖掘門羅幣XMR,並將門羅幣XMR轉移到駭客的錢包。專家還指出,當PC所有者啟動工作管理員實用程式時,木馬能夠關閉自己,從而允許惡意軟體在執行時保持不被檢測。
Trojan.BtcMine.1259不是使用雙星脈衝漏洞的第一個加密型病毒。上週發現了一種名為Eternalminer的病毒,其目標是攻擊Linux伺服器,也是用於門羅幣XMR挖掘。Wannacry是最近對全球企業和機構造成嚴重破壞的勒索程式,也將雙星脈衝漏洞納入其協議,利用漏洞作為惡意軟體自擴散SMD蠕蟲的基礎。
俄羅斯防毒軟體Dr.Web首先報告了木馬病毒
最近的加密型病毒已經採用了NSA的Doublepulsar攻擊
2017年4月,雙星脈衝漏洞由Shadow Brokers提供。據報告,超過36000臺的電腦已經被感染各種病毒。4月21日,專家表明,受感染的機器的數量可能達到近100000臺。由於Windows系統更新ms17 - 010,受感染計算機的數量預計將接近16000臺。
