木馬病毒不僅“黑吃黑”,，還會(huì)“過(guò)河拆橋”。

騰訊智慧安全御見(jiàn)威脅情報(bào)中心近日發(fā)現(xiàn)一種WannaMiner挖礦木馬新變種,，其在挖取門羅幣（XMR）同時(shí)還會(huì)下載遠(yuǎn)控木馬,，和以往的版本類似，該挖礦木馬會(huì)查殺其他挖礦木馬,，以“黑吃黑”的方式保證自己獨(dú)享系統(tǒng)資源,。

值得一提的是,，WannaMiner挖礦木馬最新變種還會(huì)“過(guò)河拆橋”,，在自身入侵成功后會(huì)關(guān)閉高危端口,，避免其他挖礦木馬入侵，達(dá)到獨(dú)享挖礦資源的目的,。騰訊電腦管家已實(shí)時(shí)攔截該挖礦木馬的入侵,，并提醒廣大用戶加強(qiáng)防范，及時(shí)修復(fù)漏洞補(bǔ)丁,。

WannaMiner挖礦木馬最新變種入侵電腦后,，會(huì)冒充微軟系統(tǒng)文件，關(guān)閉Windows防火墻并添加任務(wù)自啟動(dòng),，同時(shí)釋放NSA攻擊工具套件,，掃描內(nèi)網(wǎng)445端口橫向擴(kuò)散，并釋放遠(yuǎn)程控制木馬,，取得系統(tǒng)最高權(quán)限,，方便不法黑客竊取隱私及執(zhí)行一切遠(yuǎn)程管理任務(wù)。該木馬在釋放挖礦模塊時(shí),，不僅會(huì)結(jié)束其他挖礦木馬進(jìn)程,，還會(huì)在確保安裝好自身之后，關(guān)閉系統(tǒng)的135,、137、138,、139,、445端口，堵上后續(xù)挖礦木馬侵入的大門,，獨(dú)占挖礦資源,。

（圖：WannaMiner挖礦木馬最新變種釋放挖礦模塊）

經(jīng)過(guò)騰訊安全技術(shù)專家分析發(fā)現(xiàn)，該變種除了與早先的MsraMiner家族在漏洞利用和惡意基礎(chǔ)設(shè)施上高度一致,，還跟其他安全廠商今年六月曝光的另一個(gè)家族HSMiner如出一轍,。因此騰訊智慧安全判斷，WannaMiner,、MsraMiner,、HSMiner實(shí)際為同一家族的不同命名，背后為同一黑產(chǎn)團(tuán)伙,。

（WannaMiner與HSMiner的代碼高度相似）

通過(guò)同源性分析和比對(duì)以往的威脅情報(bào),，WannaMiner挖礦木馬最新變種下載了和HSMiner挖礦木馬一樣的遠(yuǎn)程控制模塊,、使用了與HSMiner挖礦木馬有相關(guān)性的C2服務(wù)器。與此類似,，通過(guò)溯源分析,，發(fā)現(xiàn)WannaMiner挖礦木馬最新變種與MsraMiner挖礦木馬在C2服務(wù)器方面也存在復(fù)用情況。因此,，騰訊智慧安全御見(jiàn)威脅情報(bào)中心判斷由不同安全團(tuán)隊(duì)報(bào)告的WannaMiner,、MsraMiner與HSMiner挖礦木馬，背后的控制者實(shí)為同一團(tuán)伙,。

（圖：騰訊安全企業(yè)級(jí)產(chǎn)品御點(diǎn)）

此前,，MsraMiner挖礦木馬曾在大型僵尸網(wǎng)絡(luò)Mining Botnet上運(yùn)行，通過(guò)NSA武器庫(kù)和自帶Web Server進(jìn)行傳播,，30000臺(tái)主機(jī)受到感染,。本次WannaMiner挖礦木馬最新變種與其系同一家族。為了避免不必要的損失,，騰訊電腦管家安全專家,、騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松建議企業(yè)用戶安裝御點(diǎn)終端安全管理系統(tǒng)，通過(guò)終端殺毒和修復(fù)漏洞統(tǒng)一管控,，以及策略管控等全方位的安全管理功能,，方便企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況,、保護(hù)企業(yè)安全,。