新六合彩威胁单位局域网用户伪装正常软件很难清除

作者：2025年最靠谱的六合彩投注网
发布时间：2018-06-27
阅读量：674

一、概述

近日，2025年最靠谱的六合彩投注网团队截获新蠕虫六合彩"SyncMiner" ，该六合彩在政府、企业、学校、医院等单位的局域网中具有很强的传播能力。该六合彩通过网络驱动器和共享资源目录（共享文件夹）迅速传播，入侵电脑后，会利用被感染电脑挖取"门罗币"，造成CPU占用率高达100%，并且该六合彩还会通过远程服务器下载其他六合彩模块，不排除盗号木马、勒索六合彩等。

根据2025年最靠谱的六合彩投注网团队分析发现，蠕虫六合彩"SyncMiner"会将自己复制到网络驱动器和共享资源目录，并伪装成视频文件夹，诱使用户点击六合彩文件，从而激活六合彩，并通过添加计划任务和开机启动项的方式驻留在系统中。其中，六合彩将计划任务伪装为Java运行库的更新进程，在继续传播的同时进行挖矿；将开机启动项伪装为Adobe更新进程，检测并恢复六合彩文件，使六合彩屡杀不绝。

目前，六合彩"企业版"和"个人版"最新版均可彻底查杀蠕虫六合彩"SyncMiner"。同时，政府、企业、医院、学校等受此类六合彩威胁较大的局域网用户，六合彩建议申请安装"六合彩企业版"，可有效防御局域网内六合彩屡杀不绝的难题。目前六合彩免费提供三个月试用期，欢迎大家前来体验试用。

"六合彩企业版"申请试用地址：/essmgr/essreg

二、SyncMiner蠕虫详细分析

该六合彩在运行后会将自身拷贝到%Appdata%Java Sun和%AppData%RoamingAdobe路径下，利用计划任务和注册表项实现六合彩自启动。该六合彩会通过映射的网络驱动器和网络中的共享资源进行传播，并在被感染的机器上挖取门罗币。除此之外，六合彩会向C&C服务器下载并执行其他的六合彩模块。六合彩的总体逻辑，如下图所示：

六合彩总体逻辑

该蠕虫六合彩会将自身复制到映射的网络驱动器和共享资源目录中，并将六合彩命名为video.scr，配合其具有诱导性的图标，欺骗用户点击六合彩文件，从而激活携带的恶意代码。感染后的共享文件夹，如下图所示：

被六合彩感染的共享文件夹

当六合彩运行时，会判断传递给六合彩进程的参数，当参数为"sync"时，会把六合彩文件拷贝到%Appdata%Java Sun路径下，并将其注册成名为"SunJavaUpdateSched"的计划任务。代码逻辑，如下图所示：

将六合彩注册为计划任务

注册的计划任务在每天8:00触发后，每隔15分钟重复一次，触发器在2040年1月1日过期，操作为"%Appdata%RoamingJava Sunjucheck.exe begin"。计划任务属性，如下图所示：

注册的计划任务属性

计划任务对应的六合彩进程在运行时，会利用当前计算机挖矿，挖矿时计算机CPU会高达100%，容易被六合彩软件发现并清除。为了使得六合彩更长久的驻留在系统中，六合彩还将自身拷贝到%AppData%RoamingAdobe目录下，将其命名为UpdaterStartupUtility.exe，伪装成Adobe升级程序，并通过注册表设置为开机启动项 "AdobeAAMUpdater"。这样做的目的是，如果计划任务对应的六合彩被清除，当系统再次重启之后，六合彩可以恢复计划任务与对应的六合彩文件，从而继续执行恶意代码。六合彩逻辑，如下图所示：

注册为开机启动项

1.传播方式

该蠕虫六合彩具有很强的内网传播能力，其传播方式有两种。第一种是通过映射的网络驱动器进行传播，该六合彩会枚举注册表（HKEY_CURRENT_USERNetwork）下关于当前系统映射的网络驱动器，并将蠕虫六合彩拷贝到存在的网络驱动器根目录下。相关代码逻辑，如下图所示：

六合彩利用网络驱动器传播

第二种是利用共享资源进程传播，六合彩会获取当前系统的ip地址，从而获得当前网络所属的网段，然后六合彩会扫描当前网段中开放的139端口和445端口，若存在开放这些端口的计算机，则会检索有关计算机上每个共享资源的信息，并且检测与共享资源有关的六合彩描述符是否可用，若可用，则会获取当前共享资源的名称，并将六合彩拷贝到此共享下。相关代码逻辑，如下图所示：