按 Enter 到主內容區
:::

TWCERT-電子報

:::

挖礦惡意程式藉由假防毒防駭軟體大肆散布

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-08-27
  • 點閱次數:2912
挖礦惡意程式藉由假防毒防駭軟體大肆散布 TWCERT/CC

資安廠商發現,有不明駭侵者在網路上散布假的惡意軟體掃瞄移除程式,其中藏有挖礦惡意程式碼。

資安廠商 Avast 近日發表研究報告,該公司發現有不明駭侵者在網路上散布假的惡意軟體掃瞄移除程式 Malwarebyte,其中藏有挖礦惡意程式碼,會潛藏於受害者的電腦系統上進行挖礦。

Avast 說,該公司在八月下旬起開始偵測到一些假冒的 Malwarebyte 安裝程式,內含會載入 XMRig 惡意軟體的後門;用戶如果安裝了,就會被植入 XMRig 惡意軟體,電腦系統資源將遭盜用進行 Monero 加密貨幣挖礦。

這些假冒的 Malwarebyte 安裝程式,係將惡意程式碼藏在 MBSetup2.exe 以及 Qt5Help.dll、Qt5WinExtras.dll 檔案中,安裝完成後會利用 MBAMSvc 服務下載惡意軟體程式碼的酬載,內含挖礦用的 Bitminer 程式。

目前的受害者多分布於俄羅斯、烏克蘭和東歐諸國。

Avast 說,真正的 Malwarebyte 軟體並不含上述的 .dll 檔,下列檔案也可能會被安裝在 PC 中:

  • %ProgramData%\VMware\VMware Tools\vmtoolsd.exe
  • %ProgramData%\VMware\VMware Tools\vmmem.exe
  • %ProgramData%\VMware\VMware Tools\vm3dservice.exe
  • %ProgramData%\VMware\VMware Tools\vmwarehostopen.exe

一旦用戶發現自己電腦上有上述檔案,應該立即移除;同時也應移除「%ProgramFiles(x86)%\Malwarebytes」資料夾中的所有檔案,以策安全。

回頁首