蠕虫病毒

该病毒整体逻辑分为两个部分，分别为传播和后门逻辑。该病毒的传播只针对可移动存储设备和网络驱动器，被感染后的可移动存储设备或网络驱动器根目录中会被释放一组病毒文件，并通过诱导用户点击或利用系统自动播放功能进行启动。蠕虫病毒通过遍历磁盘进行传播的相关逻辑代码，如下图所示：

遍历磁盘传播

被释放的病毒文件及文件描述，如下图所示：

被释放的病毒文件及文件描述

蠕虫病毒会通过在病毒vbs脚本中随机插入垃圾代码方式对抗安全软件查杀，被释放的vbs脚本首先会关闭当前资源管理器窗口，之后打开磁盘根目录下的”_”文件夹，最后执行病毒程序DeviceConfigManager.exe。释放病毒vbs脚本相关逻辑，如下图所示：

释放病毒vbs脚本相关逻辑

除了释放病毒文件外，病毒还会根据扩展名删除磁盘根目录中的可疑文件（删除时会将自身释放的病毒文件排除）。被删除的文件后缀名，如下图所示：

被删除的文件后缀名

病毒在释放文件的同时，还会将根目录下的所有文件全部移动至病毒创建的”_”目录中。除了病毒释放的快捷方式外，其他病毒文件属性均被设置为隐藏，在用户打开被感染的磁盘后，只能看到与磁盘名称、图标完全相同的快捷方式，从而诱骗用户点击。快捷方式指向的文件为DeviceConfigManager.vbs，vbs脚本功能如前文所述。通过这些手段可以使病毒代码执行的同时，尽可能不让用户有所察觉。

被释放的病毒文件列表

蠕虫病毒释放的快捷方式，如下图所示：

蠕虫病毒释放的快捷方式

该病毒的后门逻辑会通过与C&C服务器进行IRC通讯的方式进行，恶意代码会根据当前系统环境将当前受控终端加入到不同的分组中，再通过分组通讯对属于不同分组的终端分别进行控制。病毒用来进行分组的信息包括：语言区域信息、当前系统平台版本为x86或x64、当前用户权限等。后门代码中最主要的恶意功能为下载执行远程恶意代码，再借助病毒创建的自启动项，使该病毒可以常驻于用户计算机，且可以向受控终端推送的任意恶意代码进行执行。病毒首先会使用用户的语言区域信息和随机数生成用户ID，之后向C&C服务器发送NICK和USER通讯命令，随机的用户ID会被注册为NICK通讯命令中的名字，该操作用于受控终端上线。相关代码，如下图所示：

受控终端上线相关代码

通过上图我们可以看到，病毒所使用的C&C服务器列表中域名和IP地址众多，其中很大一部分都为无效域名和地址，主要用于迷惑安全研究人员。在受控端上线后，就会从C&C服务器获取控制指令进行执行。病毒可以根据不同的系统环境将当前受控终端进行分组，分组依据包括：语言区域信息、当前用户权限、系统平台版本信息（x86/x64）。除此之外，病毒还可以利用控制命令通过访问IP查询网站（http://api.wipmania.com）严格限制下发恶意代码的传播范围。主要控制命令及命令功能描述，如下图所示：

主要控制命令及命令功能描述

主要后门控制相关代码，如下图所示：

后门控制代码

病毒会将远程请求到的恶意代码释放至%temp%目录下进行执行，文件名随机。相关代码，如下图所示：

下载执行远程恶意代码

挖矿病毒

病毒下发的恶意代码众多，我们此次仅以挖矿病毒为例。本次火绒截获的挖矿病毒执行后，会在电脑运算资源闲置时挖取门罗币，对于普通用户来说其挖矿行为很难被察觉。在本次火绒所截获到的样本中，我们发现，病毒下发的所有恶意代码都使用了与蠕虫病毒相同的混淆器。以混淆器还原加载原始PE数据代码为例进行对比，如下图所示：

混淆器代码对比图（左为被下发到终端的挖矿病毒、右为蠕虫病毒）

挖矿病毒原始恶意代码运行后，会将病毒自身复制到C:Users用户名AppDataRoamingsvchostx64.exe位置，并创建计划任务每分钟执行一次。病毒会创建互斥量，通过检测互斥量，可以保证系统中的病毒进程实例唯一。之后，病毒会使用挖矿参数启动自身程序，再将挖矿程序（XMRig）PE镜像数据注入到新启动的进程中执行挖矿逻辑。在火绒行为沙盒中挖矿病毒行为，如下图所示：

挖矿病毒行为

如上图所示，挖矿参数中限制挖矿程序CPU占用率为3%，并且会通过检测系统闲置信息的方式不断检测CPU占用率是否过高，如果过高则会重新启动挖矿进程。通过遍历进程检测任务管理器进程（Taskmgr.exe）是否存在，如果存在则会停止挖矿，待任务管理进程退出后继续执行挖矿逻辑。病毒通过上述方法提高了病毒自身的隐蔽性，保证病毒可以尽可能的长时间驻留于被感染的计算机中。相关代码，如下图所示：

挖矿逻辑控制代码

虽然病毒严格控制了挖矿效率，但是由于该病毒感染量较大，总共挖取门罗币约645个，以门罗币当前价格计算，合人民币60余万元。病毒使用的门罗币钱包账户交易信息，如下图所示：

病毒使用的门罗币钱包账户交易信息

三、附录

luna币最新消息，币圈茅台Luna币价近乎归零 ！全球第三大稳定币TerraUSD(下称“UST”)，短短一周价格自由落体，令现在听来颇具讽刺意味的“稳定币”一词快速出圈。北京时间14日凌晨，面对币价的大幅缩水，LUNA币创始人Do Kwon在社交媒体发声表示，他在崩盘中没有出售任何LUNA币，同时对此次事件受害者道歉，团队目前正在梳理储备与使用情况，并已在社区中提出关于重建的新提案，以尝试保护社区与开发者，找到LUNA币重建之路。

买LUNA币，可以去欧易交易所，欧易目前是国内最大的交易所，没有之一

欧易注册地址：https://www.oke4.cn/vip888  （直接点击链接即可注册）

注册通道二：https://www./1 （直接点击链接即可注册）

详细注册教程：https://www./okx/okx.html  （直接点击链接即可打开）

受此消息提振，LUNA币随后又极速拉升，暴涨超11562%。截至北京时间14日11时，币价为0.0001美元。

一、“币圈茅台”LUNA币闪崩

---

北京时间5月13日，“在虚拟货币交易界面上，数十种币全红了，格外刺眼。”阿文（化名）关闭了交易软件，“多看一眼都觉得辣眼睛，不想再碰了。”

据CoinMarketCap数据，LUNA币曾在4月5日达到119.5美元的历史高点，最高市值为410亿美元（约合人民币2786亿元）。不过，自5月9日起，LUNA币价格一直下跌，币价近乎归零。

在LUNA币闪崩带动下，包括比特币、以太坊在内的加密货币同样经历血雨腥风。比特币本周三次下破30000美元整数，一度跌破27000美元大关，再创今年以来新低。

5月12日晚，霍徳（化名）一直没睡着，脑子里全是那些消失的金钱。此前，他努力说服妻子将全部积蓄120万美元的五分之四投资了虚拟货币LUNA币，目前损失98%，按最新汇率折合人民币约600万元。

除此之外，十多万人已经爆仓。币界数据显示，截至北京时间14日11时，24小时内共有逾16万用户爆仓，爆仓价值21.2亿元。

何为稳定币？

UST是由一家名为Terra的韩国公司发行的算法稳定币，其价值与美元1:1锚定。UST并非通过现金或债券等美元资产，来维持与美元的挂钩，而是通过发行一种叫做Luna的代币来实现锚定，投资者用法币买入Luna币持有UST。

该稳定币的运行原理如下：如果UST价格跌破1美元，投资者可以“销毁”UST，即将其从流通中永久移除，来换取价值1美元的Luna币，此举将减少UST的供应并提振其价格；相反，如果UST升破1美元，投资者可以“销毁”Luna币，换取1美元UST，此举会增加UST供应，推动其价格重新跌向1美元。

“从10万美元挣到100万美元，我用了几年。亏光100万美元，我只花了1小时。这两天币圈风起云涌，我无话可说，因为我爆仓了。”花露（化名）是2017年就进入币圈的“老司机”了，也经历过很多次大的回撤，但这次百万级别的回撤，可能会让他沉寂很长时间。

“一直相信LUNA会归零，所以在LUNA从0.5美元反弹到1.5美元的时候加了空单，再加上一部分套保的LUNA，总共仓位开到了40万个LUNA，然后一切在它反弹到4美元的时候爆完了。爆仓后，我赶紧入金，四处借钱，可能是我对合约理解不够透彻，它一直在给我加保证金，刚好我几乎所有的钱都在里面。看着价格不断变高，我却始终狠不下心止损，心里一直在喊，LUNA会回到1美元的。它确实回去了，只不过是在我爆仓后。”花露表示。

自5月13日起，头部虚拟货币交易所币安、Upbit和Bybit等陆续发布下架和暂停Terra（LUNA）网络的充值和提现的公告，Coinbase交易所甚至直接警告投资者可能会血本无归。

理论上，市场会自发通过上述两种操作进行套利，客观上帮助维持UST与美元的锚定关系。但是当市场遭遇剧烈波动，这种自发调节供需关系的稳定机制就会失灵，并伴随大规模的挤兑事件，稳定币不再稳定，进而陷入“死亡螺旋”之中。

据加密货币数据平台CoinGecko，当前，整个稳定币市场的价值超过1600亿美元，美国泰达公司(Tether)发行的USDT是全球最大的稳定币，市值约为800亿美元。

币圈资深用户小卡(化名)在接受第一财经记者采访时表示，在UST崩盘前，Terra公司向投资者承诺，购买Luna币年化回报接近20%，故吸引大量资金入场，炒高了Luna币的价格，一路由2021年年初时的不足一美元，飙升到今年4月时的近120美元，UST市值因此膨胀至180亿美元。

直至当地时间5月8日，UST和Luna币双双开启暴跌行情，Luna币仅用一周时间价格归零，至13日，UST价格跌至10美分，过去24个小时下泻82%。

那么，UST的崩盘是如何发生的？小卡告诉第一财经记者，币圈称此次事件为“币圈索罗斯”的蓄意攻击，狙击手的“作案手法”与当年的对冲基金大佬索罗斯如出一辙。

1997年，索罗斯先是大量借入泰铢，随后突然在市场上大量出售，导致泰铢暴跌，泰国央行试图动用外汇储备买入泰铢，但，随之而来的市场跟风抛压，导致泰铢对美元暴跌，固定汇率制度崩盘，最终以泰铢大幅度贬值收场。

小卡称，5月8日，Terra因调整UST资金池需要，暂时抽出部分UST流动性，导致UST流动性短暂下降，“币圈索罗斯”利用这一时间窗口，大量抛售手中的UST，令UST价格偏离1美元，该脱钩事件随即引发UST持有者的大规模恐慌性抛售，致UST价格加速下跌，并自动触发UST和Luna之间销毁机制的执行。

“UST价格下跌，投资者挤兑UST，转化成Luna，Luna供应增加，价格大幅走低，再触发Luna持有者的抛售……这就形成了‘死亡螺旋‘。UST的价值本就是依托投资者真金白银买入Luna来支持，一旦Luna价值不在，UST的价值也不复存在。”小卡解释道。

稳定币震荡波及主流加密货币，12日，比特币一度暴跌至25000美元附近，创2020年年底以来的新低，以太坊下探至1700美元，加密货币市场单日市值蒸发2000亿美元。

小卡称，Terra此前购买了价值30亿美元的比特币和以太坊，作为UST项目的储备资产，以在脱锚引发抛售时，调动资金、维护UST价格稳定。在此次事件中，上述资金连同UST和Luna持有者的资金，已经付之一炬。

至于“币圈索罗斯”的庐山真面目，小卡表示，币圈人士普遍猜测是华尔街的主流金融机构，有消息称，全球十大对冲基金之一的城堡投资(Citadel)发动了此次金融攻击。该机构上一次出圈，还要追溯到2021年2月时的散户大战华尔街事件。

复盘UST崩盘的始末，小卡总结道，空方利用了两点成功狙击稳定币。“第一，是利用Terra执行流动性移仓的操作，在合约市场做空UST和Luna；第二，加密货币与美股越来越呈现强相关性，纳指深陷熊市，市场看跌情绪达到极端，导致加密货币价格稍有下跌，就会引发向下的羊群效应。”

截至13日，纳指较其去年11月创下的历史高位跌去27%，而半年来，加密货币市场的市值已被抹去一万亿美元。去年11月，比特币和以太坊双双创下新高，分别攀升至67800美元和4800美元上方，如今，两者价格已较历史高位跌去58%和60%。

“在传统金融巨鳄面前，数字货币暴露出了它的最大弱点，即所有行为都被记录在链，所有交易都向公众公开，是明牌，而传统金融机构却在暗处，能够运筹帷幄。但数字货币还是一个偏实验性的行业，相信未来会有创新来解决暴露出的问题，此次事件对币圈影响深远。”小卡表示。

美国财长耶伦(Janet Yellen)对事件表示关注，她10日在国会听证会上再次呼吁国会对稳定币进行监管，称立法迫在眉睫。“我认为稳定币是一个快速发展的产品，对金融稳定构成风险，我们需要一个一致的立法框架。”

去年，由美国财政部领导的监管小组建议国会制定立法，对稳定币发行者进行与银行类似的监管，耶伦表示，今年完成立法目标是合适的。

CELO币能涨到多少？CELO币未来价值深度分析

 3/4   首页 上一页 1 2 3 4 下一页 尾页