被释放的病毒文件列表

蠕虫病毒释放的快捷方式，如下图所示：

蠕虫病毒释放的快捷方式

该病毒的后门逻辑会通过与C&C服务器进行IRC通讯的方式进行，恶意代码会根据当前系统环境将当前受控终端加入到不同的分组中，再通过分组通讯对属于不同分组的终端分别进行控制。病毒用来进行分组的信息包括：语言区域信息、当前系统平台版本为x86或x64、当前用户权限等。后门代码中最主要的恶意功能为下载执行远程恶意代码，再借助病毒创建的自启动项，使该病毒可以常驻于用户计算机，且可以向受控终端推送的任意恶意代码进行执行。病毒首先会使用用户的语言区域信息和随机数生成用户ID，之后向C&C服务器发送NICK和USER通讯命令，随机的用户ID会被注册为NICK通讯命令中的名字，该操作用于受控终端上线。相关代码，如下图所示：

受控终端上线相关代码

通过上图我们可以看到，病毒所使用的C&C服务器列表中域名和IP地址众多，其中很大一部分都为无效域名和地址，主要用于迷惑安全研究人员。在受控端上线后，就会从C&C服务器获取控制指令进行执行。病毒可以根据不同的系统环境将当前受控终端进行分组，分组依据包括：语言区域信息、当前用户权限、系统平台版本信息（x86/x64）。除此之外，病毒还可以利用控制命令通过访问IP查询网站（http://api.wipmania.com）严格限制下发恶意代码的传播范围。主要控制命令及命令功能描述，如下图所示：

主要控制命令及命令功能描述

主要后门控制相关代码，如下图所示：

后门控制代码

病毒会将远程请求到的恶意代码释放至%temp%目录下进行执行，文件名随机。相关代码，如下图所示：

下载执行远程恶意代码

挖矿病毒

病毒下发的恶意代码众多，我们此次仅以挖矿病毒为例。本次火绒截获的挖矿病毒执行后，会在电脑运算资源闲置时挖取门罗币，对于普通用户来说其挖矿行为很难被察觉。在本次火绒所截获到的样本中，我们发现，病毒下发的所有恶意代码都使用了与蠕虫病毒相同的混淆器。以混淆器还原加载原始PE数据代码为例进行对比，如下图所示：

混淆器代码对比图（左为被下发到终端的挖矿病毒、右为蠕虫病毒）

挖矿病毒原始恶意代码运行后，会将病毒自身复制到C:Users用户名AppDataRoamingsvchostx64.exe位置，并创建计划任务每分钟执行一次。病毒会创建互斥量，通过检测互斥量，可以保证系统中的病毒进程实例唯一。之后，病毒会使用挖矿参数启动自身程序，再将挖矿程序（XMRig）PE镜像数据注入到新启动的进程中执行挖矿逻辑。在火绒行为沙盒中挖矿病毒行为，如下图所示：

挖矿病毒行为

如上图所示，挖矿参数中限制挖矿程序CPU占用率为3%，并且会通过检测系统闲置信息的方式不断检测CPU占用率是否过高，如果过高则会重新启动挖矿进程。通过遍历进程检测任务管理器进程（Taskmgr.exe）是否存在，如果存在则会停止挖矿，待任务管理进程退出后继续执行挖矿逻辑。病毒通过上述方法提高了病毒自身的隐蔽性，保证病毒可以尽可能的长时间驻留于被感染的计算机中。相关代码，如下图所示：

挖矿逻辑控制代码

虽然病毒严格控制了挖矿效率，但是由于该病毒感染量较大，总共挖取门罗币约645个，以门罗币当前价格计算，合人民币60余万元。病毒使用的门罗币钱包账户交易信息，如下图所示：

病毒使用的门罗币钱包账户交易信息

三、附录

IFO初次分叉发行是什么？

IFO初次分叉发行是什么?IFO是Initial Fork Offerings的缩写，中文译为“首次发叉发行”。IFO是在比特币分叉盛行的风气下，诞生出来的一个全新词语，由于之前并没有确切的定义，这里币圈就对其作一个详细的讲解。

从名字就能看出来，IFO与IPO、ICO的意义相似，都是第一次发行某种东西。它们的区别是，IPO发行的是股票，ICO发行的是代币，而IFO则发行的是分叉币。

IFO的起源可以追溯到2017年8月1日，比特币第一次分叉，分裂出比特币(Bitcoin Cash)。比特币现金就可以看做是一次IFO行为。IFO就是告诉网友们，我们团队推出了一款数字货币BCH，持有BTC的人免费送糖果，BCH可以挖矿、可以流通、可以交易，都来参与吧。

在比特币现金之后，分叉风气开始盛行，陆续出现了比特币黄金(Bitcoin Gold)、B2X(Bitcoin X)、比特币钻石(Bitcoin Diamond)、超级比特币(SuperBitcoin)等分叉币，都可属于IFO。

IFO可以说是一种新的ICO形式，都是通过发行一种数字货币来支持项目，所以IFO也继承了ICO大部分优点与不足，即是一种金融创新，但可能存在忽悠与欺诈。但也有不同，无论是私募开始公开募集，都具有融资属性。而IFO则没有直接的融资属性，而且用户参与的门槛低，对于原本持有主流币种的朋友来说，分叉时会自动得到。

IFO初次分叉发行是什么?ICO在国内已被禁止，而IFO从方式与性质上说，触碰监管规则的可能性相对低一些。但如果IFO泛滥到混乱无序，依然有可能受到国家的严厉监管。

有的时候门槛是保护既得利益者非常好的一种方法，同时只要我们跨过了门槛那么我们就能够获得巨大的财富。因而如果你做为普通人希望在币圈能够有一份收益，那么可以添加我们的官方客服进行详细的交流和探讨，同时我们的官方社群有币圈不同领域的大咖以及资深的职业玩家，可以帮助大家快速的入门并玩转币圈交易市场。添加下方微信即可申请加入哦。

 3/3   首页 上一页 1 2 3