病毒作者十分谨慎，将蠕虫病毒及其下载的全部病毒模块，都使用了混淆器，很难被安全软件查杀。同时，其下载的挖矿病毒只会在用户电脑空闲时进行挖矿，并且占用CPU资源很低，隐蔽性非常强。

不仅如此，该病毒还会删除被感染设备或网络驱动器根目录中的可疑文件，以保证只有自身会进入用户电脑。由此可见，该病毒以长期占据用户电脑来牟利为目的，日后不排除会远程派发其他恶性病毒（如勒索病毒）的可能。

“火绒安全软件”无需升级即可拦截并查杀该病毒。

二、样本分析

近期，火绒截获到一批蠕虫病毒样本，该病毒主要通过网络驱动器和可移动存储设备进行传播。该病毒在2014年前后首次出现，起初病毒在海外传播量较大，在国内的感染量十分有限，在进入2018年之后国内感染量迅速上升，逐渐呈现出迅速爆发的威胁态势。该病毒代码执行后，会根据远程C&C服务器返回的控制命令执行指定恶意逻辑，甚至可以直接派发其他病毒代码到本地计算机中进行执行。现阶段，我们发现的被派发的病毒程序包括：挖矿病毒、盗号木马等。病毒恶意代码运行与传播流程图，如下图所示：

病毒恶意代码运行与传播流程图

该病毒所使用的C&C服务器地址众多，且至今仍然在随着样本不断进行更新，我们仅以部分C&C服务器地址为例。如下图所示：

C&C服务器地址

该病毒会将自身拷贝到可移动存储设备和网络驱动器中，病毒程序及脚本分别名为DeviceConfigManager.exe和DeviceConfigManager.vbs。被该病毒感染后的目录，如下图所示：

被该病毒感染后的目录（上为可移动存储设备，下为网络驱动器）

火绒截获的蠕虫病毒样本既其下载的其他病毒程序全部均使用了相同的混淆器，此处对其所使用的混淆器进行统一分析，下文中不再赘述。其所使用的混淆器会使用大量无意义字符串或数据调用不同的系统函数，使用此方法达到其混淆目的。混淆器相关代码，如下图所示：

混淆代码

混淆器中使用了大量与上图中类似的垃圾代码，而用于还原加载原始PE镜像数据的关键逻辑代码也被穿插在这些垃圾代码中。还原加载原始PE数据的相关代码，如下图所示：

还原加载原始PE镜像数据的相关代码

上述代码运行完成后，会调用加载原始PE镜像数据的相关的代码逻辑。加载原始PE镜像数据的代码，首先会获取LoadLibrary、GetProcAddress函数地址及当前进程模块基址，之后借此获取其他关键函数地址。解密后的相关代码，如下图所示：

解密后的加载代码

原始PE镜像数据被使用LZO算法（Lempel-Ziv-Oberhumer）进行压缩，经过解压，再对原始PE镜像进行虚拟映射、修复导入表及重定位数据后，即会执行原始恶意代码逻辑。相关代码，如下图所示：

调用解压缩及虚拟映射相关代码

蠕虫病毒

该病毒整体逻辑分为两个部分，分别为传播和后门逻辑。该病毒的传播只针对可移动存储设备和网络驱动器，被感染后的可移动存储设备或网络驱动器根目录中会被释放一组病毒文件，并通过诱导用户点击或利用系统自动播放功能进行启动。蠕虫病毒通过遍历磁盘进行传播的相关逻辑代码，如下图所示：

遍历磁盘传播

被释放的病毒文件及文件描述，如下图所示：

被释放的病毒文件及文件描述

蠕虫病毒会通过在病毒vbs脚本中随机插入垃圾代码方式对抗安全软件查杀，被释放的vbs脚本首先会关闭当前资源管理器窗口，之后打开磁盘根目录下的”_”文件夹，最后执行病毒程序DeviceConfigManager.exe。释放病毒vbs脚本相关逻辑，如下图所示：

释放病毒vbs脚本相关逻辑

除了释放病毒文件外，病毒还会根据扩展名删除磁盘根目录中的可疑文件（删除时会将自身释放的病毒文件排除）。被删除的文件后缀名，如下图所示：

被删除的文件后缀名

病毒在释放文件的同时，还会将根目录下的所有文件全部移动至病毒创建的”_”目录中。除了病毒释放的快捷方式外，其他病毒文件属性均被设置为隐藏，在用户打开被感染的磁盘后，只能看到与磁盘名称、图标完全相同的快捷方式，从而诱骗用户点击。快捷方式指向的文件为DeviceConfigManager.vbs，vbs脚本功能如前文所述。通过这些手段可以使病毒代码执行的同时，尽可能不让用户有所察觉。

被释放的病毒文件列表

蠕虫病毒释放的快捷方式，如下图所示：

蠕虫病毒释放的快捷方式

该病毒的后门逻辑会通过与C&C服务器进行IRC通讯的方式进行，恶意代码会根据当前系统环境将当前受控终端加入到不同的分组中，再通过分组通讯对属于不同分组的终端分别进行控制。病毒用来进行分组的信息包括：语言区域信息、当前系统平台版本为x86或x64、当前用户权限等。后门代码中最主要的恶意功能为下载执行远程恶意代码，再借助病毒创建的自启动项，使该病毒可以常驻于用户计算机，且可以向受控终端推送的任意恶意代码进行执行。病毒首先会使用用户的语言区域信息和随机数生成用户ID，之后向C&C服务器发送NICK和USER通讯命令，随机的用户ID会被注册为NICK通讯命令中的名字，该操作用于受控终端上线。相关代码，如下图所示：

受控终端上线相关代码

通过上图我们可以看到，病毒所使用的C&C服务器列表中域名和IP地址众多，其中很大一部分都为无效域名和地址，主要用于迷惑安全研究人员。在受控端上线后，就会从C&C服务器获取控制指令进行执行。病毒可以根据不同的系统环境将当前受控终端进行分组，分组依据包括：语言区域信息、当前用户权限、系统平台版本信息（x86/x64）。除此之外，病毒还可以利用控制命令通过访问IP查询网站（http://api.wipmania.com）严格限制下发恶意代码的传播范围。主要控制命令及命令功能描述，如下图所示：

主要控制命令及命令功能描述

主要后门控制相关代码，如下图所示：

后门控制代码

病毒会将远程请求到的恶意代码释放至%temp%目录下进行执行，文件名随机。相关代码，如下图所示：

下载执行远程恶意代码

挖矿病毒

病毒下发的恶意代码众多，我们此次仅以挖矿病毒为例。本次火绒截获的挖矿病毒执行后，会在电脑运算资源闲置时挖取门罗币，对于普通用户来说其挖矿行为很难被察觉。在本次火绒所截获到的样本中，我们发现，病毒下发的所有恶意代码都使用了与蠕虫病毒相同的混淆器。以混淆器还原加载原始PE数据代码为例进行对比，如下图所示：

混淆器代码对比图（左为被下发到终端的挖矿病毒、右为蠕虫病毒）

挖矿病毒原始恶意代码运行后，会将病毒自身复制到C:Users用户名AppDataRoamingsvchostx64.exe位置，并创建计划任务每分钟执行一次。病毒会创建互斥量，通过检测互斥量，可以保证系统中的病毒进程实例唯一。之后，病毒会使用挖矿参数启动自身程序，再将挖矿程序（XMRig）PE镜像数据注入到新启动的进程中执行挖矿逻辑。在火绒行为沙盒中挖矿病毒行为，如下图所示：

挖矿病毒行为

如上图所示，挖矿参数中限制挖矿程序CPU占用率为3%，并且会通过检测系统闲置信息的方式不断检测CPU占用率是否过高，如果过高则会重新启动挖矿进程。通过遍历进程检测任务管理器进程（Taskmgr.exe）是否存在，如果存在则会停止挖矿，待任务管理进程退出后继续执行挖矿逻辑。病毒通过上述方法提高了病毒自身的隐蔽性，保证病毒可以尽可能的长时间驻留于被感染的计算机中。相关代码，如下图所示：

挖矿逻辑控制代码

虽然病毒严格控制了挖矿效率，但是由于该病毒感染量较大，总共挖取门罗币约645个，以门罗币当前价格计算，合人民币60余万元。病毒使用的门罗币钱包账户交易信息，如下图所示：

病毒使用的门罗币钱包账户交易信息

三、附录

莱特币在哪里交易？LTC币在中国可以交易吗？

对于莱特币，不知道投资者是否听说币圈流传的一句话，叫比特金，莱特银，这可以说是很多投资者对于莱特币的第一印象，莱特币受到了比特币的启发，并且在技术上使用相同的实现原理，莱特币的创造和转让是基于一种开源的加密协议，不受到任何中央机构的管理，毫不夸张的说，莱特币也是投资者比较喜爱的数字货币之一。

1.在交易所交易。

在选择莱特币交易平台时，通常最好选择更大，更有影响力的平台。一方面是安全可靠，另一方面有更多的货币，活跃的交易和良好的流动性。

2.完全私人交易

首先，交易双方互相联系，然后交易中的卖方通过莱特币等钱包直接将莱特币转移到买方钱包，买方需要用钱或其他等价物交易。

可以啊，网友们可以去一些头部交易所交易莱特币，例如火币网、币安、欧易OKEX等。

火币网

火币全球专业站，是火币集团旗下服务于全球专业交易用户的创新数字资产国际站，致力于发现优质的创新数字资产投资机会，目前提供四十多种数字资产品类的交易及投资服务，总部位于新加坡，由火币全球专业站团队负责运营。

币安

币安(Binance)，国际领先的区块链数字资产国际站，向全球提供广泛的数字货币交易、区块链教育、区块链项目孵化、区块链资产发行平台、区块链研究院以及区块链公益慈善等服务，目前用户覆盖全球180多个国家和地区，以140万单/秒的核心内存撮合技术，是全球加密货币交易速度最快的平台之一，也是全球加密货币交易量最大的平台之一。

欧易OKEx

OKEX是全球著名的数字资产国际站之一，主要面向全球用户提供比特币、莱特币、以太币等数字资产的现货和衍生品交易服务，隶属于OKEX Technology Company Limited。 OKEX创立时，获得了世界顶级投资者Tim Draper参与设立的创业工场百万美金的天使投资，Tim Draper先生同时也是Hotmail、百度、特斯拉等世界顶级企业的投资者。

如果大家对于区块链数字货币交易平台比价感兴趣，希望找到靠谱正规的区块链数字货币交易平台的话，那么可以更深入的咨询我们的官方客服，同时可以免费申请加入我们的官方社群，群里都币圈区块链经验丰富的职业玩家以及行业大咖，可以帮助大家解疑答惑，共同进步，币圈掘金。

最近几天币圈可谓是血雨腥风，由于Defi的暴火，也重新迎来了一波所谓的小牛市；大行情下，最赚钱的当属合约，很多人疑问合约怎么玩。其实合约就是加了杠杆的炒币方式，如果你玩了，就相当于加入了这个对赌平台。最近爆了几次仓之后，让我重新冷静了下来，认真思考，我在做什么。这不是在du博吗，和别人对赌，和庄家对赌，和平台对赌，俨然变成了一枚赌狗；但是现如今炒币最受欢迎的两种方式，一种就是现货交易，也就是说用钱买数字货币，另一种就是本文要说的合约交易，合约交易是指买卖双方对约定未来某个时间按指定价格接收一定数量的某种资产的协议进行交易，这样的解释听起来可能还是一知半解，但说到币圈“一夜暴富”靠合约这句话相信大家并不陌生，合约在风险大的同时间也伴随着高收益这才是吸引很多投资者炒数字货币合约的原因，今天99知识网小编就来给大家讲解下炒币如何做合约以及炒币合约教程。

在币圈里，它的背后是区块链，区块链是互联网的升级版，如果这个行业有可以让人们产生美好预期的东西，那么这个币圈将会不停的有做多力量出现，高点不需要去预测，那时候所有的压力位，都是用来突破的。但目前好像也没有相应的好的预期；总结一下，币圈就是一个资金选择多空的筹码争夺和抛弃的市场，没有只涨不跌的市场，也没有只跌不涨的市场，筹码就在那里，所以币圈会根据基本面的预期变化而产生相应的涨跌，这是币圈的本质；我们不能说开合约不赚钱，因为有人确实从几千块赚到了几千万，但是如果我们什么都不懂的去开合约炒币大概率是会亏钱的，所以在这里有个知识点，没有人带不要盲目去开合约炒币。

一、炒币如何做合约？

1、用户根据对BTC价格趋势的判断决定多空方向，并根据时间长短选择合约类型。目前OKEX(https://www.ouyi.xin/)提供三种合约类型，分别是：当周，下周，季度。

当周合约指在距离交易日最近的周五进行交割的合约;下周合约是指距离交易日最近的第二个周五进行交割的合约。季度合约是指交割日为3,6,9,12月中距离当前最近的一个月份的最后一个周五，且不与当周/次周/月度合约的交割日重合。

2、用户选择合适的价格与数量成交。

用户购买合约时，所需的保证金为成交时刻与合约价值等值得BTC数量除以杠杆倍数。只有账户权益大于等于交易成功后保证金的数量，用户才能进行委托操作。

 3/5   首页 上一页 1 2 3 4 5 下一页 尾页