根据安全软件厂商Quick Heal Security Labs和网络安全设备供应商Fortinet的研究人员透露,市场上出现了两种专门针对Windows和安卓操作系统的全新门罗币(Monero)恶意挖矿软件,这些软件会隐藏在普通文件下,并且伪装成合法的应用程序更新。
Quick Heal Security Labs研究人员称,这些“隐身”的门罗币挖矿软件试图隐藏在PC版Windows操作系统内。用户一旦安装之后,该恶意软件就会自解压出一套可执行的VBS脚本文件、一个抽取实用程序、以及受密码保护的存档和批处理文件,并且存储在“C:/ProgramFiles/Windriverhost”目录下。之后,该恶意软件会启动运行ouyk.vbs文件,确保其挖矿操作持续运转,同时还会启动xvvq.bat批处理文件修改PowerCFG命令让计算机始终保持启动状态。
最后,该恶意软件会运行driverhost.exe挖矿程序挖掘门罗币,而xvvq.bat则会使用tasklist命令定期检查计算机内部的分析工具和防病毒工具。目前尚不清楚这个恶意软件是通过什么渠道感染计算机的,但根据Quick Heal Security Labs研究人员推测,网络钓鱼和隐藏恶意软件的广告可能是罪魁祸首。
另一方面,网络安全设备供应商Fortinet的研究人员也发现了另一款攻击安卓操作系统的门罗币恶意挖矿软件——Android/HiddenMiner.A!tr,该恶意软件试图通过冒充Google Play应用商店更新来破坏安卓设备。如果这款软件安装在模拟器或虚拟机上,则会自动关闭以避免被杀毒软件分析监测;不过一旦被安装在移动设备上,它就会被立即激活并请求获取设备管理权限。更可怕的是,假如手机机主不授予这款恶意软件管理权限,它就会不断发出请求,直到用户接受并允许安装。